Auf dieser Seite
Grundlegende Informationen zum PVLAN-Datenverkehr über mehrere Switches
Grundlegende Informationen zu sekundären VLAN-Trunk-Ports und Promiscuous Access-Ports auf PVLANs
Verwendung von 802.1X-Authentifizierung und privaten VLANs zusammen auf der gleichen Schnittstelle
Erstellen eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung (CLI Verfahren)
Erstellen eines privaten VLAN auf einem einzelnen QFX-Switch
Erstellen eines privaten VLAN auf einem einzelnen Switch der EX-Serie (CLI Verfahren)
Erstellen eines privaten VLAN mit mehreren Switches der QFX-Serie
Erstellen eines privaten VLAN über mehrere Switches der EX-Serie (CLI verfahren)
Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung
Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der QFX-Serie
Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der EX-Serie
Beispiel: Konfigurieren eines privaten VLAN über mehrere QFX-Switches
Beispiel: Konfigurieren eines privaten VLAN über mehrere Switches mit einer IRB-Schnittstelle
Beispiel: Konfigurieren eines privaten VLAN über mehrere Switches der EX-Serie
Sicherstellen, dass ein privates VLAN auf einem Switch arbeitet
Private VLANs
Verständnis privater VLANs
VLANs beschränken Broadcasts auf bestimmte Benutzer. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie die Kommunikation innerhalb eines VLANs beschränken. PVLANs erreichen dies durch die Beschränkung von Datenverkehrsströmen über ihre Member-Switch-Ports (die als privatePorts bezeichnet werden), sodass diese Ports nur mit einem angegebenen Uplink-Trunkport oder mit angegebenen Ports innerhalb des gleichen VLANs kommunizieren. Der Uplink-Trunkport bzw. die Link Aggregation Group (LAG) ist in der Regel mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden. Jedes PVLAN enthält in der Regel viele private Ports, die nur mit einem einzelnen Uplink-Port kommunizieren und so verhindern, dass die Ports miteinander kommunizieren.
PVLANs bieten eine Layer 2-Isolierung zwischen Ports in einem VLAN und teilen eine Broadcast-Domäne in mehrere separate Broadcast-Unterdomains durch das Erstellen sekundärer VLANs (Community-VLANs und eines isolierten VLAN) in einem primären VLAN. Ports innerhalb der gleichen Community VLAN können miteinander kommunizieren. Ports innerhalb eines isolierten VLAN können nur mit einem einzelnen Uplink-Port kommunizieren.
Genau wie die normalen VLANs sind PVLANs auf Layer 2 isoliert und erfordern eine der folgenden Optionen zum Routen von Layer 3-Datenverkehr zwischen den sekundären VLANs:
Eine promiscuous Port-Verbindung mit einem Router
Eine Geroutete VLAN-Schnittstelle (RVI)
Für das Routen von Layer 3-Datenverkehr zwischen sekundären VLANs benötigt ein PVLAN nur eine der oben genannten Optionen. Wenn Sie einen RVI verwenden, können Sie trotzdem eine promiscuous Port-Verbindung zu einem Router implementieren, der den promiscuous Port eingerichtet hat, um nur Datenverkehr zu verarbeiten, der das PVLAN ein- und austritt.
PVLANs sind zur Beschränkung des Broadcast- und unbekannten Unicast-Datenverkehrs und zur Beschränkung der Kommunikation zwischen bekannten Hosts nützlich. Dienstanbieter verwenden PVLANs, um ihre Kunden voneinander isoliert zu halten. Eine weitere typische Verwendung für ein PVLAN ist die Bereitstellung eines Internetzugangs pro Zimmer in einem Hotel.
Sie können ein PVLAN so konfigurieren, dass es Switches überspannt, die PVLANs unterstützen.
In diesem Thema werden die folgenden Konzepte bezüglich PVLANs auf Switches der EX-Serie erläutert:
- Vorteile von PVLANs
- Typische Struktur und Hauptanwendung von PVLANs
- Typische Struktur und primäre Anwendung von PVLANs auf Routern der MX-Serie
- Typische Struktur und primäre Anwendung von PVLANs auf Switches der EX-Serie
- Routing zwischen isolierten und Community-VLANs
- PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen
- PVLANs nutzen IP-Adressen effizient
- PVLAN-Porttypen und Weiterleitungsregeln
- PvLAN-Erstellung
- Grenzen privater VLANs
Vorteile von PVLANs
Die Trennung eines einzelnen VLANs ist besonders in den folgenden Implementierungsszenarien hilfreich:
Serverfarmen: Ein typischer Internetdienstanbieter verwendet eine Serverfarm, um Zahlreiche Kunden Webhosting zu bieten. Das Auffinden der verschiedenen Server innerhalb einer einzelnen Serverfarm sorgt für eine einfache Verwaltung. Sicherheitsbedenken entstehen, wenn sich alle Server im selben VLAN befinden, da Layer-2-Broadcasts an alle Server im VLAN gehen.
Städtische Ethernet-Netzwerke: Ein Metro-Service Provider bietet Layer-2-Ethernet-Zugriff für verschiedene Haushalte, Vermietungsgemeinschaften und Unternehmen. Die herkömmliche Lösung, bei der pro Kunde ein VLAN bereitgestellt wird, ist nicht skalierbar und schwer zu verwalten, was zu potenzieller Verschwenden von IP-Adressen führt. PVLANs bieten eine sicherere und effizientere Lösung.
Typische Struktur und Hauptanwendung von PVLANs
Ein PVLAN kann auf einem einzelnen Switch konfiguriert oder für mehrere Switches konfiguriert werden. Zu den Arten von Domänen und Ports gehören:
Primäres VLAN: Das primäre VLAN des PVLAN wird mit einem 802.1Q-Tag (VLAN-ID) für das vollständige PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs (ein isoliertes VLAN und mehrere Community-VLANs) enthalten.
Isolierter VLAN/isolierter Port: Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle innerhalb eines isolierten VLAN kann Pakete nur an einen Promiscuous-Port oder einen ISL-Port (Inter-Switch Link) senden. Eine isolierte Schnittstelle kann Pakete nicht an eine andere isolierte Schnittstelle übertragen. und eine isolierte Schnittstelle kann Pakete nicht von einer anderen, voneinander isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Gateway-Router haben muss, muss es an einen isolierten Trunkport angeschlossen werden.
Community-VLAN/Community-Port: Sie können mehrere Community-VLANs innerhalb eines einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann Layer 2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zur gleichen Community VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLAN kann auch mit einem Promiscuous-Port oder dem ISL-Port kommunizieren. Wenn Sie beispielsweise zwei Kundengeräte haben, die Sie von anderen Kundengeräten isolieren müssen, die jedoch miteinander kommunizieren können müssen, verwenden Sie Community-Ports.
Promiscuous-Port: Ein Promiscuous-Port verfügt über eine Layer 2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob eine Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein Promiscuous-Port ist ein Mitglied des primären VLAN, aber nicht in eine sekundäre Subdomain enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind normalerweise mit einem promiscuous Port verbunden.
Inter-Switch Link (ISL): Ein ISL ist ein Trunkport, der mehrere Switches in einem PVLAN verbindet und zwei oder mehr VLANs enthält. Dies ist nur erforderlich, wenn ein PVLAN mehrere Switches überspannt.
Das konfigurierte PVLAN ist die primäre Domäne (primäres VLAN). Innerhalb des PVLAN konfigurieren Sie sekundäre VLANs, die in die primäre Domain eingebettet sind. Ein PVLAN kann auf einem einzelnen Switch konfiguriert oder für mehrere Switches konfiguriert werden. Das in zwei Switches dargestellte PVLAN umfasst Abbildung 1 eine primäre PVLAN-Domäne und verschiedene Subdomains.

Wie in Abbildung 3 "PVLAN" dargestellt, hat ein PVLAN nur eine primäre und mehrere sekundäre Domänen. Zu den Domänentypen gehören:
Primäres VLAN: VLAN für die Weiterverarbeitung von Frames nachgeschaltet zu isolierten und Community-VLANs. Das primäre VLAN des PVLAN wird für das gesamte PVLAN mit einem 802.1Q-Tag (VLAN-ID) definiert. Das primäre PVLAN kann mehrere sekundäre VLANs (ein isoliertes VLAN und mehrere Community-VLANs) enthalten.
Sekundäres isoliertes VLAN: VLAN, das Pakete nur vom primären VLAN empfängt und Frames vorgeschaltet an das primäre VLAN weiter weitergeleitet. Das isolierte VLAN ist ein sekundäres VLAN, das in das primäre VLAN eingebettet ist. Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle in einem isolierten VLAN (isolierte Schnittstelle) kann Pakete nur an einen Promiscuous-Port oder den PVLAN-Trunkport übertragen. Eine isolierte Schnittstelle kann Pakete nicht an eine andere isolierte Schnittstelle übertragen. kann aber Pakete von einer anderen, voneinander isolierten Schnittstelle nicht empfangen. Wenn ein Kundengerät nur auf einen Router zugreifen muss, muss es an einen isolierten Trunkport angeschlossen werden.
Sekundärer Interswitch isoliertes VLAN: VLAN verwendet, um isolierten VLAN-Datenverkehr von einem Switch über PVLAN-Trunk-Ports an einen anderen zu übertragen. 802.1Q-Tags sind für isolierte Interswitch-VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, durch den ein Trunking-Gerät eine 4-Byte VLAN-Frame-Identifizierungs-Registerkarte in den Paket-Header einträgt. Ein isoliertes Interswitch-VLAN ist ein sekundäres VLAN, das in das primäre VLAN eingebettet ist.
Sekundäres VLAN für die Community: VLAN verwendet, um Frames zwischen Mitgliedern einer Community (eine Untergruppe von Benutzern innerhalb des VLAN) zu transporten und Frames an das primäre VLAN weiter zu weitergeleitet. Ein Community-VLAN ist ein sekundäres VLAN, das in das primäre VLAN eingebettet ist. Sie können mehrere Community-VLANs in einem einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann Layer 2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zur gleichen Community VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLAN kann auch mit einem Promiscuous-Port oder dem PVLAN-Trunkport kommunizieren.
Abbildung 2 zeigt ein PVLAN, das mehrere Switches umspannt, wobei das primäre VLAN ( ) zwei Community-Domänen und ) und eine isolierte 100
(300
400
Interswitch-Domäne enthält.

Primäre und sekundäre VLANs verlassen sich auf die Begrenzung auf 4089 VLANs, die auf der QFX-Serie unterstützt werden. Beispielsweise zählt jedes VLAN Abbildung 2 gegen diese Begrenzung.
Typische Struktur und primäre Anwendung von PVLANs auf Routern der MX-Serie
Das konfigurierte PVLAN wird zur primären Domäne, und sekundäre VLANs werden zu Subdomains, die in der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzelnen Router erstellt werden. Das hier dargestellte PVLAN Abbildung 3 umfasst einen Router mit einer primären PVLAN-Domäne und mehreren sekundären Subdomains.

Zu den Domänentypen gehören:
Primäres VLAN: VLAN für die Weiterverarbeitung von Frames nachgeschaltet zu isolierten und Community-VLANs.
Sekundäres isoliertes VLAN: VLAN, das Pakete nur vom primären VLAN empfängt und Frames vorgeschaltet an das primäre VLAN weiter weitergeleitet.
Sekundäres Interswitch-isoliertes VLAN: VLAN verwendet, um isolierten VLAN-Datenverkehr von einem Router über PVLAN-Trunk-Ports an einen anderen zu übertragen.
Sekundäres VLAN für die Community: VLAN für den Transport von Frames zwischen Mitgliedern einer Community, bei der es sich um eine Untergruppe von Benutzern innerhalb des VLAN handelt, und um Frames vorgelagert an das primäre VLAN weiter zu weitergeleitet.
PVLANs werden auf MX80-Routern, auf MX240-, MX480- und MX960-Routern mit DPCs im erweiterten LAN-Modus und auf Routern der MX-Serie mit MPC1, MPC2 und PiCs für adaptive Dienste unterstützt.
Typische Struktur und primäre Anwendung von PVLANs auf Switches der EX-Serie
Das primäre VLAN des PVLAN wird für das gesamte PVLAN mit einem 802.1Q-Tag (VLAN-ID) definiert. Auf EX9200 Switches muss jedes sekundäre VLAN auch mit einer eigenen separaten VLAN-ID definiert werden.
Abbildung 4 zeigt ein PVLAN auf einem einzelnen Switch, in dem das primäre VLAN (VLAN) 100
zwei Community-VLANs (VLAN und VLAN) und ein 300
400
isoliertes VLAN (VLAN) 50
enthält.

Abbildung 5 zeigt ein PVLAN, das mehrere Switches umspannt, wobei das primäre VLAN (VLAN) zwei 100
Community-VLANs (VLAN und VLAN) und ein 300
400
isoliertes VLAN (VLAN 200) enthält. Sie zeigt auch, dass Switch 1 und 2 über eine Interswitch-Verbindung (PVLAN-Trunkverbindung) verbunden sind.

Darüber hinaus werden in den PVLANs ein Promiscuous-Port verwendet, der mit einem Router verbunden ist, um den Layer-3-Datenverkehr zwischen der Community und den isolierten Abbildung 4Abbildung 5 VLANs zu routen. Anstatt den promiscuous Port zu verwenden, der mit einem Router verbunden ist, können Sie eine RVI auf dem Switch oder einen der gezeigten Abbildung 4Abbildung 5 Switches (auf einigen EX-Switches) konfigurieren.
Für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs müssen Sie entweder einen Router mit einem Promiscuous-Port verbinden,wie in gezeigt, oder eine Abbildung 4Abbildung 5 RVI konfigurieren.
Wenn Sie sich für die RVI-Option entscheiden, müssen Sie eine RVI für das primäre VLAN in der PVLAN-Domäne konfigurieren. Dieser RVI dient der gesamten PVLAN-Domain, unabhängig davon, ob die Domäne einen oder mehrere Switches umfasst. Nachdem Sie den RVI konfiguriert haben, werden von den sekundären VLAN-Schnittstellen empfangene Layer 3-Pakete zugeordnet und vom RVI geroutet.
Beim Einrichten der RVI müssen Sie auch das Proxy Address Resolution Protocol (ARP) aktivieren, damit die RVI ARP-Anforderungen verarbeiten kann, die an die sekundären VLAN-Schnittstellen empfangen werden.
Informationen zur Konfiguration von PVLANs auf einem einzelnen Switch und auf mehreren Switches finden Sie unter Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie (einfachesCLI).Informationen zur Konfiguration einer RVI finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Routing zwischen isolierten und Community-VLANs
Für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs müssen Sie einen externen Router oder Switch mit einem Trunk-Port des primären VLANs verbinden. Der Trunkport des primären VLAN ist ein Promiscuous-Port. daher kann es mit allen Ports im PVLAN kommunizieren.
PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen
Wenn Pakete mit einem kundenspezifischen 802.1Q-Tag markiert werden, wird die Eigentümerschaft der Pakete für jeden Switch oder Router im Netzwerk ermittelt. Manchmal werden in PVLANs 802.1Q-Tags benötigt, um Pakete von verschiedenen Subdomains zu verfolgen. Tabelle 1 gibt an, wann ein VLAN-802.1Q-Tag im primären VLAN oder in sekundären VLANs benötigt wird.
Auf einem einzelnen Switch | auf mehreren Switches | |
---|---|---|
Primäres VLAN | Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen. |
Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen. |
Sekundäres VLAN | Kein Tag für VLANs erforderlich. |
VLANs benötigen 802.1Q-Tags:
|
PVLANs nutzen IP-Adressen effizient
PVLANs bieten schutz vor IP-Adressen und eine effiziente Zuordnung von IP-Adressen. In einem typischen Netzwerk gehören VLANs normalerweise zu einem einzigen IP-Subnetz. In PVLANs gehören die Hosts in allen sekundären VLANs zum selben IP-Subnetz, da das Subnetz dem primären VLAN zugewiesen wird. Hosts innerhalb des sekundären VLAN werden IP-Adressen auf der Grundlage von IP-Subnetzen zugewiesen, die mit dem primären VLAN verknüpft sind. Ihre Informationen zur IP-Subnetzmaske enthalten die Informationen des primären VLAN-Subnetzes. Jedes sekundäre VLAN ist jedoch eine separate Broadcast-Domäne.
PVLAN-Porttypen und Weiterleitungsregeln
PVLANs können bis zu sechs verschiedene Porttypen nutzen. Das dargestellte Netzwerk nutzt einen promiscuous Port, um Informationen an den Router zu übertragen, Community-Ports, um die Finanz- und HR-Communitys mit ihren entsprechenden Switches zu verbinden, isolierte Ports zur Verbindung der Server und einen PVLAN-Trunkport zum Verbinden der beiden Abbildung 2 Switches. PVLAN-Ports unterliegen unterschiedlichen Einschränkungen:
Promiscuous Trunk Port – Ein promiscuous Port verfügt über eine Layer 2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob die Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein Promiscuous-Port ist ein Mitglied des primären VLAN, aber nicht in einer der sekundären Subdomains enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind normalerweise mit einem promiscuous Port verbunden.
PVLAN-Trunkverbindung – Die PVLAN-Trunkverbindung, die auch als Interswitch-Verbindung bekannt ist, ist nur erforderlich, wenn ein PVLAN für die Spanung mehrerer Switches konfiguriert ist. Die PVLAN-Trunkverbindung verbindet die verschiedenen Switches, die das PVLAN aufstellen.
PVLAN-Trunkport: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunkport erforderlich, der die Switches umspannt. Der PVLAN-Trunkport ist ein Mitglied aller VLANs innerhalb des PVLAN (d. h. dem primären VLAN, den Community-VLANs und dem isolierten Interswitch-VLAN) und über nimmt Datenverkehr vom primären VLAN und allen sekundären VLANs. Es kann mit allen Ports mit anderen als den isolierten Ports kommunizieren.
Die Kommunikation zwischen einem PVLAN-Trunkport und einem isolierten Port erfolgt in der Regel unidirektional. Die Mitgliedschaft eines PVLAN-Trunkports im isolierten Interswitch-VLAN ist "Egress-Only". Das bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunkport übertragen kann. Ein PVLAN-Trunkport führt Pakete jedoch nicht an einen isolierten Port weiter (wenn die Pakete nicht an einen promiscuous Access Port gesendet werden und daher an alle sekundären VLANs im selben primären VLAN wie der promiscuous Port weitergeleitet werden).
Sekundärer VLAN-Trunkport (nicht dargestellt): Sekundäre Trunk-Ports tragen sekundären VLAN-Datenverkehr. Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunkport Datenverkehr für nur ein sekundäres VLAN transportieren. Ein sekundärer VLAN-Trunkport kann jedoch Datenverkehr für mehrere sekundäre VLANs portieren, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunkport Datenverkehr für ein Community-VLAN, das Teil des primären VLAN pvlan100 ist, und Datenverkehr für ein isoliertes VLAN, das Teil des primären VLAN pvlan400 ist, weiter tragen.
Community-Port: Community-Ports kommunizieren untereinander und mit ihren Promiscuous-Ports. Community-Ports dienen nur einer ausgewählten Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLAN voneinander getrennt.
Isolierter Zugriffsport – Isolierte Ports verfügen über Layer 2-Konnektivität nur mit Promiscuous-Ports und PVLAN-Trunk-Ports. Ein isolierter Port kann nicht mit einem anderen isolierten Port kommunizieren, selbst wenn diese beiden Ports Mitglieder der gleichen isolierten VLAN-Domäne (oder interswitch) sind. Normalerweise ist ein Server wie ein Mail-Server oder ein Backup-Server an einem isolierten Port verbunden. In einem Hotel sind die Zimmer in der Regel an einen isolierten Port angeschlossen, sodass eine Kommunikation zwischen den Zimmern nicht möglich ist. Jedes Zimmer kann jedoch über den Promiscuous-Port auf das Internet zugreifen.
Promiscuous Access-Port (nicht dargestellt): Diese Ports tragen nicht-tags-Datenverkehr. Datenverkehr, der an einem promiscuous Access-Port einfügbar ist, wird an alle sekundären VLAN-Ports auf dem Gerät weitergeleitet. Wenn der Datenverkehr über einen VLAN-fähigen Port in das Gerät einfing und an einem promiscuous Access-Port ausgehend abtritt, wird der Datenverkehr nicht mehr bezeichnet. Wenn Tagged Traffic-Ingresses auf einem Promiscuous Access-Port, wird der Datenverkehr verworfen.
Interswitch-Linkport: Ein ISL-Port (Interswitch Link) ist ein Trunk-Port, der zwei Router verbindet, wenn ein PVLAN diese Router überspannt. Der ISL-Port ist ein Mitglied aller VLANs innerhalb des PVLAN (d. h. dem primären VLAN, den Community-VLANs und dem isolierten VLAN).
Die Kommunikation zwischen einem ISL-Port und einem isolierten Port ist unidirektional. Die Mitgliedschaft eines ISL-Ports im isolierten Interswitch-VLAN ist "Egress-Only". Der eingehende Datenverkehr auf dem ISL-Port wird also nie dem isolierten VLAN zugewiesen. Ein isolierter Port kann Pakete an einen PVLAN-Trunkport übertragen, aber ein PVLAN-Trunkport kann Pakete nicht an einen isolierten Port übertragen. Tabelle 3 fasst zusammen, ob Layer 2-Konnektivität zwischen den verschiedenen Ports vorhanden ist.
Tabelle 2 fasst die Layer 2-Konnektivität zwischen den verschiedenen Ports innerhalb eines PVLAN auf Switches der EX-Serie, die ELS unterstützen, zusammen.
Vom Porttyp |
Zu isolierten Ports? |
Zu promiscuous Ports? |
Zu Community-Ports? |
Zu Inter-Switch Link Port? |
---|---|---|---|---|
Isoliert |
Verweigern |
Zulassen |
Verweigern |
Zulassen |
Promiscuous |
Zulassen |
Zulassen |
Zulassen |
Zulassen |
Community 1 |
Verweigern |
Zulassen |
Zulassen |
Zulassen |
Porttyp |
Promiscuous Trunk |
PVLAN-Trunk |
Sekundärer Trunk |
Community |
Isolierter Zugriff |
Promiscuous Access |
---|---|---|---|---|---|---|
Promiscuous Trunk |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
PVLAN-Trunk |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Ja |
Ja |
Sekundärer Trunk |
Ja |
Ja |
Nein |
Ja |
Nein |
Ja |
Community |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Nein |
Ja |
Isolierter Zugriff |
Ja |
Ja – nur unidirektional |
Nein |
Nicht vorhanden. |
Nicht vorhanden. |
Ja |
Promiscuous Access |
Ja |
Ja |
Ja |
Ja |
Ja |
Nein |
Tabelle 4 fasst zusammen, ob layer 2-Konnektivität zwischen den verschiedenen Ports innerhalb eines PVLAN vorhanden ist oder nicht.
Porttyp Empfänger: → Von:! |
Promiscuous |
Community |
Isoliert |
PVLAN-Trunk |
Rvi |
---|---|---|---|---|---|
Promiscuous |
Ja |
Ja |
Ja |
Ja |
Ja |
Community |
Ja |
Ja – nur dieselbe Community |
Nein |
Ja |
Ja |
Isoliert |
Ja |
Nein |
Nicht vorhanden. |
Ja Anmerkung:
Diese Kommunikation ist unidirektional. |
Ja |
PVLAN-Trunk |
Ja |
Ja – nur dieselbe Community |
Ja Anmerkung:
Diese Kommunikation ist unidirektional. |
Ja |
Ja |
Rvi |
Ja |
Ja |
Ja |
Ja |
Ja |
Wie bereits in erwähnt, ist die Layer 2-Kommunikation zwischen einem isolierten Port und Tabelle 4 einem PVLAN-Trunkport unidirektional. Das heißt, ein isolierter Port kann Pakete nur an einen PVLAN-Trunkport senden, und ein PVLAN-Trunkport kann Pakete nur von einem isolierten Port empfangen. Dagegen kann ein PVLAN-Trunkport Pakete nicht an einen isolierten Port senden, und ein isolierter Port kann Pakete nicht von einem PVLAN-Trunkport empfangen.
Wenn Sie es in einem primären no-mac-learning
VLAN aktivieren, übernehmen alle isolierten VLANs (oder das isolierte Interswitch-VLAN) diese Einstellung. Wenn Sie jedoch das LERNEN von MAC-Adressen in einem Community-VLAN deaktivieren möchten, müssen Sie für jedes no-mac-learning
dieser VLANs konfigurieren.
PvLAN-Erstellung
Das hier dargestellte Flussdiagramm vermittelt ihnen einen allgemeinen Grundgedanken zum Prozess der Abbildung 6 Erstellung von PVLANs. Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge abschließen, verletzen Sie nicht diese PVLAN-Regeln. (Bei den PVLAN-Regeln gilt die Konfiguration des PVLAN-Trunkports nur für ein PVLAN, das mehrere Router umfasst.)
Das primäre VLAN muss ein TAGGED VLAN sein.
Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, muss zunächst das primäre VLAN konfiguriert werden.
Zur Konfiguration einer isolierten VLAN-ID müssen Sie zuerst das primäre VLAN konfigurieren.
Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
Die Konfiguration eines VLAN auf einem einzelnen Router ist relativ einfach, wie in Abbildung 6 gezeigt.

Die Konfiguration eines primären VLANs besteht aus diesen Schritten:
Konfigurieren Sie den primären VLAN-Namen und das 802.1Q-Tag.
Festlegen no-local-switching auf dem primären VLAN.
Konfigurieren Sie den promiscuous Trunk-Port und die Zugriffsports.
Machen Sie den promiscuous Trunk und die Access Ports-Mitglieder des primären VLANs.
Innerhalb eines primären VLANs können Sie sekundäre Community-VLANs oder sekundäre isolierte VLANs oder beides konfigurieren. Die Konfiguration eines sekundären VLAN für eine sekundäre Community umfasst diese Schritte:
Konfigurieren Sie ein VLAN mithilfe des gewohnten Prozesses.
Konfigurieren Sie Zugangsschnittstellen für das VLAN.
Dem Community-VLAN ein primäres VLAN zuweisen,
Isolierte VLANs werden intern erstellt, wenn das isolierte VLAN als Mitglieder über Zugriffschnittstellen verfügt und die Option im no-local-switching primären VLAN aktiviert ist.
802.1Q-Tags sind für isolierte Interswitch-VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, durch den ein Trunking-Gerät eine 4-Byte VLAN-Frame-Identifizierungs-Registerkarte in den Paket-Header einträgt.
Trunk-Ports werden nur für Multirouter-PVLAN-Konfigurationen benötigt– der Trunkport überleitt den Datenverkehr vom primären VLAN und allen sekundären VLANs.
Grenzen privater VLANs
Für private VLAN-Konfigurationen gelten folgende Einschränkungen:
Eine Zugriffsschnittstelle kann nur einer PVLAN-Domäne gehören, d. b. sie kann nicht an zwei verschiedenen primären VLANs teilnehmen.
Eine Trunkschnittstelle kann ein Mitglied von zwei sekundären VLANs sein, solange sich die sekundären VLANs in zwei verschiedenen primären VLANs befinden. Eine Trunkschnittstelle kann nicht ein Mitglied von zwei sekundären VLANs sein, die sich im gleichen primären VLAN befinden.
Ein einzelner Bereich des Multiple Spanning Tree Protocol (MSTP) muss in allen VLANs konfiguriert werden, die zum PVLAN gehören.
VLAN Spanning Tree Protocol (VSTP) wird nicht unterstützt.
IGMP-Snooping wird von privaten VLANs nicht unterstützt.
Geroutete VLAN-Schnittstellen werden in privaten VLANs nicht unterstützt
Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.
Einige Konfigurations anweisungen können nicht auf einem sekundären VLAN angegeben werden. Sie können die folgenden Anweisungen nur auf der primären
[edit vlans vlan-name switch-options]
PVLAN-Ebene konfigurieren.Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zuerst in ein normales VLAN ändern und die Änderung festlegen. Sie befolgen z. B. folgendes Verfahren:
Ändern Sie das primäre VLAN in ein normales VLAN.
Commit für die Konfiguration.
Ändern Sie das normale VLAN in ein sekundäres VLAN.
Commit für die Konfiguration.
Befolgen Sie die gleiche Abfolge von Commits, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN, und commit diese Änderung, und ändern Sie dann das normale VLAN in ein primäres VLAN.
Die folgenden Funktionen werden auf PVLANs auf Junos-Switches nicht unterstützt, da sie den ELS-Konfigurationsstil unterstützen:
Egress VLAN Firewall-Filter
Ethernet-Ring-Schutz (ERP)
Flexibles VLAN-Tagging
Integrierte Routing- und Bridging-Schnittstelle (IRB)
Multi-Chassis Link Aggregation Groups (MC-LAGs)
Port-Spiegelung
Q-in-Q-Tunneling
VLAN Spanning Tree Protocol (VSTP)
Voice over IP (VoIP)
Sie können die folgenden Anweisungen nur auf der primären [edit vlans vlan-name switch-options]
PVLAN-Ebene konfigurieren:
Grundlegende Informationen zum PVLAN-Datenverkehr über mehrere Switches
Dieses Thema veranschaulicht und erklärt drei verschiedene Datenverkehrsströme in einem Beispiel-Multiswitch-Netzwerk, das mit einem privaten VLAN (PVLAN) konfiguriert ist. PVLANs schränken den Datenverkehrsfluss über ihre Member-Switch-Ports (die als "private Ports" bezeichnet werden) ein, sodass sie nur mit einem bestimmten Uplink-Trunkport oder mit angegebenen Ports innerhalb des gleichen VLANs kommunizieren.
In diesem Thema werden die
- VLAN der Community, die nicht tagsgenden Datenverkehr sendet
- Isoliertes VLAN, das nicht tagsgenden Datenverkehr sendet
- PVLAN Tagged Traffic Sent on a Promiscuous Port
VLAN der Community, die nicht tagsgenden Datenverkehr sendet
In diesem Szenario sendet ein VLAN in Community-1 von Switch 1 an der Schnittstelle ge-0/0/0 nicht getagten Datenverkehr. Die Pfeile in Abbildung 7 diesem Datenverkehrsfluss stehen.

In diesem Szenario erfolgt die folgende Aktivität auf Switch 1:
Community-1 VLAN auf Schnittstelle ge-0/0/0: Schulungen
pvlan100 an der Schnittstelle ge-0/0/0: Replikation
Community-1 VLAN auf Schnittstelle ge-0/0/12: Empfängt Datenverkehr
PVLAN-Trunk-Port: Datenverkehrsausgänge von ge-1/0/2 und von ae0 mit Tag 10
Community-2: Schnittstelle empfängt keinen Datenverkehr
Isolierte VLANs: Schnittstellen erhalten keinen Datenverkehr
In diesem Szenario erfolgt diese Aktivität auf Switch 3:
Community-1 VLAN auf Schnittstelle ge-0/0/23 (PVLAN-Trunk): Schulungen
pvlan100 an der Schnittstelle ge-0/0/23: Replikation
Community-1 VLAN auf Schnittstelle ge-0/0/9 und ge-0/0/16: Empfängt Datenverkehr
Promiscuous Trunk-Port: Datenverkehrsausgänge von ge-0/0/0 mit Tag 100
Community-2: Schnittstelle empfängt keinen Datenverkehr
Isolierte VLANs: Schnittstellen erhalten keinen Datenverkehr
Isoliertes VLAN, das nicht tagsgenden Datenverkehr sendet
In diesem Szenario sendet isoliertes VLAN1 auf Switch 1 an der Schnittstelle ge-1/0/0 nicht tagsbasierten Datenverkehr. Die Pfeile in Abbildung 8 diesem Datenverkehrsfluss stehen.

In diesem Szenario erfolgt die folgende Aktivität auf Switch 1:
Isoliertes VLAN1 auf Schnittstelle ge-1/0/0: Schulungen
pvlan100 an der Schnittstelle ge-1/0/0: Replikation
Datenverkehrsausgänge durch pvlan-trunk ge-1/0/2 und ae0 mit Tag 50
Community-1 und Community-2: Schnittstellen erhalten keinen Datenverkehr
Isolierte VLANs: Schnittstellen erhalten keinen Datenverkehr
In diesem Szenario erfolgt diese Aktivität auf Switch 3:
VLAN an schnittstelle ge-0/0/23 (PVLAN-Trunkport): Schulungen
pvlan100 an Schnittstelle ge0/0/23: Replikation
Promiscuous Trunk-Port: Datenverkehrsausgänge von ge-0/0/0 mit Tag 100
Community-1 und Community-2: Schnittstellen erhalten keinen Datenverkehr
Isolierte VLANs: Kein Datenverkehr erhalten
PVLAN Tagged Traffic Sent on a Promiscuous Port
In diesem Szenario wird der PVLAN-Tagged-Datenverkehr über einen Promiscuous-Port gesendet. Die Pfeile in Abbildung 9 diesem Datenverkehrsfluss stehen.

In diesem Szenario erfolgt die folgende Aktivität auf Switch 1:
pvlan100 VLAN an Schnittstelle ae0 (PVLAN-Trunk): Schulungen
Community-1, Community-2 und alle isolierten VLANs an der Schnittstelle ae0: Replikation
VLAN auf Schnittstelle ae0: Replikation
Datenverkehrsausgänge von pvlan-trunk ge-1/0/2 mit Tag 100
Community-1 und Community-2: Schnittstellen erhalten Datenverkehr
Isolierte VLANs: Erhalt von Datenverkehr
In diesem Szenario erfolgt diese Aktivität auf Switch 3:
pvlan100 an der Schnittstelle ge-0/0/0: Schulungen
Community-1, Community-2 und alle isolierten VLANs auf der Schnittstelle ge-0/0/0: Replikation
VLAN auf Schnittstelle ge-0/0/0: Replikation
Community-1 und Community-2: Schnittstellen erhalten Datenverkehr
Isolierte VLANs: Erhalt von Datenverkehr
Grundlegende Informationen zu sekundären VLAN-Trunk-Ports und Promiscuous Access-Ports auf PVLANs
VLANs beschränken Broadcasts auf bestimmte Benutzer. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie ein VLAN in mehrere Broadcast-Unterdomains aufteilen und im Wesentlichen sekundäre VLANs in ein primäres VLAN einteilen. PVLANs schränken den Datenverkehrsfluss über ihre Member-Ports ein, sodass diese Ports nur mit einem angegebenen Uplink-Trunkport oder mit angegebenen Ports innerhalb des gleichen VLANs kommunizieren. Der Uplink-Trunkport ist in der Regel mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden. Ein PVLAN enthält in der Regel viele private Ports, die nur mit einem einzelnen Uplink kommunizieren und so verhindern, dass die Ports miteinander kommunizieren.
Sekundäre Trunk-Ports und Promiscuous-Zugangsports erweitern die Funktionalität von PVLANs für die Verwendung in komplexen Bereitstellungen, z. B.:
VMware-Infrastrukturumgebungen für Unternehmen
Mehrtenant-Cloud-Services mit VM-Management
Webhosting-Dienste für mehrere Kunden
Beispielsweise können Sie sekundäre VLAN-Trunkports verwenden, um QFX-Geräte mit VMware-Servern zu verbinden, die mit privaten VLANs konfiguriert sind. Sie können promiscuous Access-Ports verwenden, um QFX-Geräte mit Systemen zu verbinden, die keine Trunk-Ports unterstützen, aber in privaten VLANs teilnehmen müssen.
In diesem Thema werden die folgenden Konzepte bezüglich PVLANs der QFX-Serie erläutert:
PVLAN-Porttypen
PVLANs können die folgenden verschiedenen Porttypen verwenden:
Promiscuous Trunk Port: Ein Promiscuous Port ist ein Upstream-Trunkport, der mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden ist. Ein promiscuous Trunk-Port kann mit allen Schnittstellen kommunizieren, einschließlich der isolierten und Community-Ports innerhalb eines PVLAN.
PVLAN-Trunkport: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunkport erforderlich, der die Switches umspannt. Der PVLAN-Trunkport ist ein Mitglied aller VLANs innerhalb des PVLAN (d. h. dem primären VLAN, den Community-VLANs und dem isolierten Interswitch-VLAN) und über nimmt Datenverkehr vom primären VLAN und allen sekundären VLANs. Es kann mit allen Ports kommunizieren.
Die Kommunikation zwischen einem PVLAN-Trunkport und einem isolierten Port erfolgt in der Regel unidirektional. Die Mitgliedschaft eines PVLAN-Trunkports im isolierten Interswitch-VLAN ist "Egress-Only". Das bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunkport übertragen kann. Ein PVLAN-Trunkport führt Pakete jedoch nicht an einen isolierten Port weiter (wenn die Pakete nicht an einen promiscuous Access Port gesendet werden und daher an alle sekundären VLANs im selben primären VLAN wie der promiscuous Port weitergeleitet werden).
Sekundärer VLAN-Trunkport: Sekundäre VLAN-Trunk-Ports tragen sekundären VLAN-Datenverkehr weiter. Für ein bestimmtes privates (primäres) VLAN kann ein sekundärer VLAN-Trunkport Datenverkehr für nur ein sekundäres VLAN tragen. Ein sekundärer VLAN-Trunkport kann jedoch Datenverkehr für mehrere sekundäre VLANs portieren, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunkport Datenverkehr für ein Community-VLAN, das Teil des primären VLAN pvlan100 ist, und Datenverkehr für ein isoliertes VLAN, das Teil des primären VLAN pvlan400 ist, weiter tragen.
Anmerkung:Wenn der Datenverkehr von einem sekundären VLAN-Trunkport ausgehend wird, transportiert er normalerweise den Tag des primären VLAN, dem der sekundäre Port gehört. Wenn Sie den Datenverkehr, der von einem sekundären VLAN-Trunkport aus geht, zum Beibehalten des sekundären VLAN-Tags nutzen möchten, verwenden Sie die extend-secondary-vlan-id Anweisung.
Community-Port: Community-Ports kommunizieren untereinander und mit ihren Promiscuous-Ports. Community-Ports dienen nur einer ausgewählten Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLAN voneinander getrennt.
Isolierter Zugriffsport: Isolierte Ports verfügen über Layer 2-Konnektivität nur mit Promiscuous-Ports und PVLAN-Trunk-Ports. Ein isolierter Zugriffsport kann nicht mit einem anderen isolierten Port kommunizieren, auch wenn diese beiden Ports Mitglieder desselben isolierten VLANs sind.
Promiscuous Access-Port: Diese Ports tragen nicht-tags-Datenverkehr und können nur Teil eines primären VLANs sein. Datenverkehr, der an einem promiscuous Access-Port einfügbar ist, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, zu denen der promiscuous Access Port gehört. In diesem Fall transportiert der Datenverkehr das entsprechende sekundäre VLAN-Tag, wenn er vom sekundären VLAN-Port abteust, wenn der sekundäre VLAN-Port ein Trunk-Port ist. Wenn der Datenverkehr über einen sekundären VLAN-Port ein- und ausgehend an einem promiscuous Access-Port liegt, wird der Datenverkehr nicht tags tags auf dem Ausgangspunkt versiert. Wenn Tagged Traffic-Ingresses auf einem Promiscuous Access-Port, wird der Datenverkehr verworfen.
Details zu sekundären VLAN-Trunkports
Beachten Sie bei der Verwendung eines sekundären VLAN-Trunkports Folgendes:
Sie müssen eine isolierte VLAN-ID für jedes primäre VLAN konfigurieren, an dem der sekundäre VLAN-Trunkport beteiligt ist. Dies gilt auch, wenn die sekundären VLANs, die der sekundäre VLAN-Trunkport trägt, auf einem einzigen Gerät begrenzt sind.
Wenn Sie einen Port als sekundären VLAN-Trunkport für ein bestimmtes primäres VLAN konfigurieren, können Sie auch den gleichen physischen Port zu einem der folgenden konfigurieren:
Sekundärer VLAN-Trunkport für ein weiteres primäres VLAN
PVLAN-Trunk für ein weiteres primäres VLAN
Promiscuous Trunk-Port
Zugriffsport für ein nicht privates VLAN
Datenverkehr, der an einem sekundären VLAN-Trunkport (mit einem sekundären VLAN-Tag) ein- und ausgehend an einem PVLAN-Trunkport einfing, hält das sekundäre VLAN-Tag auf dem Ausgangs-Port.
Datenverkehr, der an einem sekundären VLAN-Trunkport ein- und ausgehend an einem Promiscuous Trunk-Port einfügbar ist, hat den entsprechenden primären VLAN-Tag auf dem Ausgangspunkt.
Der Datenverkehr, der an einem sekundären VLAN-Trunkport ein- und ausgehend an einem promiscuous Access-Port einfing, wird nicht auf dem Ausgangspunkt versiert.
Datenverkehr, der an einem Promiscuous Trunk-Port mit einem primären VLAN-Tag ein- und ausgehend an einem sekundären VLAN-Trunkport einfügt, transportiert das entsprechende sekundäre VLAN-Tag auf dem Ausgangs-Port. Gehen Sie beispielsweise davon aus, dass Sie Folgendes auf einem Switch konfiguriert haben:
Primärer VLAN 100
Community VLAN 200 als Teil des primären VLAN
Promiscuous Trunk-Port
Sekundärer Trunkport, der Community-VLAN 200 transportiert
Wenn ein Paket an einem Promiscuous Trunk-Port mit primärem VLAN-Tag 100 und dem Egress-Port am sekundären VLAN-Trunkport einträgt, transportiert es Tag 200 auf dem Ausgangspunkt.
Anwendungsszenarien
An derselben physischen Schnittstelle können Sie mehrere sekundäre VLAN-Trunk-Ports (in verschiedenen primären VLANs) konfigurieren oder einen sekundären VLAN-Trunkport mit anderen ARTEN von VLAN-Ports kombinieren. Die folgenden Anwendungsfälle bieten Beispiele für dieses Ziel und zeigen, wie der Datenverkehr in jedem Fall fließen würde:
- Sekundäre VLAN-Trunks in zwei primären VLANs
- Sekundärer VLAN-Trunk und Promiscuous Trunk
- Sekundärer VLAN-Trunk und PVLAN-Trunk
- Sekundäre VLAN-Trunk- und nicht private VLAN-Schnittstelle
- Dateneinfluss am promiscuous Access Port
Sekundäre VLAN-Trunks in zwei primären VLANs
Gehen Sie bei diesem Beispiel davon aus, dass Sie zwei Switches mit folgender Konfiguration haben:
Primäres VLAN pvlan100 mit Tag 100.
Isoliertes VLAN isoliert 200 mit Tag 200 ist Ein Mitglied von pvlan100.
Community VLAN comm300 mit Tag 300 ist ein Mitglied von pvlan100.
Primäres VLAN pvlan400 mit Tag 400.
Isoliertes VLAN isoliert 500 mit Tag 500 ist ein Mitglied von pvlan400.
Community VLAN comm600 mit Tag 600 ist ein Mitglied von pvlan400.
Die Schnittstelle xe-0/0/0 auf Switch 1 verbindet sich mit einem VMware-Server (nicht dargestellt), der mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist. Diese Schnittstelle ist mit sekundären VLAN-Trunkports konfiguriert, um Datenverkehr für sekundären VLAN comm600 und das isolierte VLAN (Tag 200), das Mitglied von pvlan100 ist, weiter zu tragen.
Interface xe-0/0/0 auf Switch 2 wird als Promiscuous Trunk Port oder Promiscuous Access-Port konfiguriert. Im letzteren Fall können Sie davon ausgehen, dass es sich mit einem System (nicht angezeigt) verbindet, das keine Trunk-Ports unterstützt, sondern mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist.
Auf Switch 1 ist xe-0/0/6 ein Mitglied von comm600 und wird als Trunk-Port konfiguriert.
Auf Switch 2 ist xe-0/0/6 ein Mitglied von comm600 und ist als Access Port konfiguriert.
Abbildung 10 zeigt diese Topologie und wie der Datenverkehr für isolierte 200 und comm600 nach dem Eindringen auf xe-0/0/0 auf Switch 1 fließen würde. Beachten Sie, dass Datenverkehr nur dort fließt, wo die Pfeile anzeigen. Es gibt z. B. keine Pfeile für Schnittstellen xe-0/0/2, xe-0/0/3 und xe-0/0/5 auf Switch 1, da an diesen Schnittstellen keine Pakete ausgehend werden.

Hier ist der Datenverkehrsfluss für das isolierte VLAN200:
Beachten Sie, dass der Datenverkehr für das isolierte VLAN200 nicht beim isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder dem sekundären VLAN-Trunkport xe-0/0/2 auf Switch 2 ausgehend ist, obwohl diese beiden Ports dem gleichen isolierten VLAN gehören.
Hier ist der Datenverkehrsfluss für VLAN comm600:
Nach dem Datenverkehr für den ein- und ausgehenden Comm600-Port am sekundären VLAN-Trunkport auf Switch 1 geht er am PVLAN-Trunkport ab, da der PVLAN-Trunkport zu allen VLANs gehört. Die Pakete behalten beim Ausgehenden das sekundäre VLAN-Tag (600).
Datenverkehr für comm600 geht auch am Community-Port xe-0/0/6 auf Switch 1 ab. Der Traffic wird tagged, da der Port als Trunk konfiguriert ist.
Nach dem Traffic für den Einstrom von comm600 am PVLAN-Trunkport auf Switch 2, geht er bei Konfiguration als Promiscuous-Trunkport auf xe-0/0/0 davon.
Anmerkung:Wenn xe-0/0/0 auf Switch 2 als promiscuous Access-Port konfiguriert wird, kann der Port nur an einem primären VLAN teilnehmen. In diesem Fall ist der promiscuous Access-Port Teil von pvlan100, sodass der Datenverkehr für comm600 nicht abfing.
Datenverkehr für comm600 geht auch am Community-Port xe-0/0/6 auf Switch 2 ab. In diesem Fall wird der Datenverkehr nicht verunglos, da der Portmodus als Zugriff verwendet wird.
Sekundärer VLAN-Trunk und Promiscuous Trunk
Nehmen wir an, dass Sie für dieses Beispiel zwei Switches mit denselben Ports und VLANs wie im vorherigen Fall konfiguriert haben. Dabei gilt jedoch eine Ausnahme: In diesem Fall wird xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunkport für VLAN pvlan100 konfiguriert und auch als Promiscuous Trunk-Port für pvlan400 konfiguriert.
Abbildung 11 zeigt diese Topologie und wie der Datenverkehr für isolierte 200 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Ingressing auf Switch 1 fließen würde.

Der Datenverkehrsfluss für das isolierte VLAN200 ist der gleiche wie im vorherigen Beispiel, der Datenfluss für comm600 ist jedoch anders. Hier ist der Datenverkehrsfluss für VLAN comm600:
Sekundärer VLAN-Trunk und PVLAN-Trunk
Nehmen wir an, dass Sie in diesem Fall zwei Switches mit denselben Ports und VLANs wie in den vorherigen Anwendungsfällen konfiguriert haben, außer dass xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunkport für VLAN pvlan100 konfiguriert und auch als PVLAN-Trunkport für pvlan400 konfiguriert ist.
Abbildung 12 zeigt diese Topologie und wie der Datenverkehr für comm300 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Ingressing auf Switch 1 fließen würde.

Hier ist der Datenverkehrsfluss für VLAN comm300:
Hier ist der Datenverkehrsfluss für VLAN comm600:
Nach dem Traffic für den Einstrom von comm600 am PVLAN-Port xe-0/0/0 auf Switch 1 geht er am Community-Port xe-0/0/6 auf Switch 1 ab. Die Pakete behalten beim Ausgehenden den sekundären VLAN-Tag (600), da xe-0/0/6 ein Trunk-Port ist.
Datenverkehr für comm600 egresses auch am PVLAN-Trunkport xe-0/0/1, da dieser PVLAN-Trunkport ein Mitglied aller VLANs ist. Die Pakete behalten beim Ausgehenden das sekundäre VLAN-Tag (600).
Nach dem Traffic für den Einstrom von comm600 am PVLAN-Trunkport auf Switch 2, geht er bei Konfiguration als Promiscuous-Trunkport auf xe-0/0/0 davon.
Er wird nicht auf xe-0/0/0 ausfügbar, wenn diese Schnittstelle als promiscuous Access-Port konfiguriert ist, da der Port nur von pvlan100 unterstützt wird.
Datenverkehr für comm600 geht auch am Community-Port xe-0/0/6 auf Switch 2 ab. Dieser Datenverkehr wird im ausgehenden Bereich nicht taggedeutet, da xe-0/0/6 ein Zugriffsport ist.
Sekundäre VLAN-Trunk- und nicht private VLAN-Schnittstelle
Gehen wir davon aus, dass Sie für dieses Beispiel zwei Switches mit denselben Ports und VLANs konfiguriert haben, wie in den vorherigen Anwendungsfällen außer diesen Abweichungen:
Konfiguration für xe-0/0/0 auf Switch 1:
Sekundärer VLAN-Trunkport für VLAN pvlan100
Zugriffsport für vlan700
Port xe-0/0/6 auf beiden Switches ist ein Access-Port für vlan700.
Abbildung 13 zeigt diese Topologie und den Datenverkehr für isolierte 200 (Mitglied von pvlan100) und vlan700 nach dem Ingressing auf Switch 1.

Hier ist der Datenverkehrsfluss für das isolierte VLAN200:
Beachten Sie, dass der Datenverkehr für das isolierte VLAN200 nicht beim isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder dem sekundären VLAN-Trunkport xe-0/0/2 auf Switch 2 ausgehend ist, obwohl diese beiden Ports dem gleichen isolierten VLAN gehören.
Nachdem der Datenverkehr für vlan700-Ingresses am Access Port auf xe-0/0/0 auf Switch 1 konfiguriert ist, geht er am Access-Port xe-0/0/6 ab, da dieser Port dem selben VLAN gehört. Der Datenverkehr für vlan700 wird nicht an Switch 2 weitergeleitet (obwohl xe-0/0/6 auf Switch 2 ein Mitglied von vlan700 ist), da der PVLAN-Trunk auf xe-0/0/1 dieses VLAN nicht überträgt.
Dateneinfluss am promiscuous Access Port
Gehen wir davon aus, dass Sie für diesen Fall zwei Switches mit denselben Ports und VLANs wie im vorherigen Fall konfiguriert haben, außer dass xe-0/0/0 auf Switch 1 als Promiscuous Access-Port konfiguriert ist und Mitglied von pvlan100 ist. zeigt diese Topologie und wie nicht tagsgedriger Datenverkehr nach dem Ingressing durch diese Schnittstelle Abbildung 14 auf Switch 1 fließen würde.

Wie die Abbildung zeigt, wird nicht-tags zugänglicher Datenverkehr an einem promiscuous Access-Port an alle sekundären VLAN-Ports weitergeleitet, die Mitglieder des gleichen primären VLANs sind, denen der promiscuous Access-Port gehört. Der Datenverkehr wird nicht gekennzeichnet, wenn er von den Zugriffsports aus geht und über den Egress-Port (xe-0/0/2 auf Switch 2) egressiert wird.
Verwendung von 802.1X-Authentifizierung und privaten VLANs zusammen auf der gleichen Schnittstelle
- Understanding Using 802.1X Authentication and PVLANs Together on the Same Interface
- Konfigurationsrichtlinien für die Kombination von 802.1X-Authentifizierung mit PVLANs
- Beispiel: Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
Understanding Using 802.1X Authentication and PVLANs Together on the Same Interface
Sie können jetzt sowohl 802.1X-Authentifizierung als auch private VLANs (PVLANs) auf der gleichen Schnittstelle konfigurieren.
Die 802.1X-Authentifizierung von IEEE bietet Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff, indem der vollständige Datenverkehr zu und von einem Supplicant (Client) an der Schnittstelle blockiert wird, bis die Anmeldeinformationen des Supplicants präsentiert und dem Authentifizierungsserver (einem RADIUS-Server) abgestimmt werden.
Private VLANs (PVLANs) bieten eine Layer 2-Isolierung zwischen Ports innerhalb eines VLAN und teilen eine Broadcast-Domäne in mehrere separate Broadcast-Unterdomains durch das Erstellen sekundärer VLANs. PVLANs sind zur Beschränkung des Broadcast- und unbekannten Unicast-Datenverkehrs und zur Beschränkung der Kommunikation zwischen bekannten Hosts nützlich.
Auf einem Switch, der sowohl mit 802.1X-Authentifizierung als auch mit PVLANs konfiguriert ist, wird das Gerät authentifiziert und dann basierend auf der PVLAN-Konfiguration oder dem RADIUS-Profil einem sekundären VLAN zugewiesen, wenn ein neues Gerät an das PVLAN-Netzwerk angeschlossen wird. Das Gerät erhält dann eine IP-Adresse und erhält Zugriff auf das PVLAN-Netzwerk.
Dieses Dokument enthält keine detaillierten Informationen zur 802.1X-Authentifizierung oder privaten VLANs. Informationen dazu finden Sie in der Feature-Dokumentation, die diese individuellen Funktionen enthält. Informationen für 802.1X finden Sie unter Benutzerzugriff und Authentifizierungsbenutzerhandbuch. Informationen über PVLANs finden Sie unter Ethernet-Switching-Benutzerhandbuch.
Konfigurationsrichtlinien für die Kombination von 802.1X-Authentifizierung mit PVLANs
Beachten Sie die folgenden Richtlinien und Beschränkungen für die Konfiguration dieser beiden Funktionen an der gleichen Schnittstelle:
Eine 802.1X-fähige Schnittstelle kann nicht als Promiscuous-Schnittstelle (eine Schnittstelle, die konfigurationlich Teil des primären VLANs ist) oder als Interswitch-Link (ISL)-Schnittstelle konfiguriert werden.
Mehrere Benutzer können nicht über verschiedene VLANs authentifiziert werden, die zur gleichen PVLAN-Domäne auf einer logischen Schnittstelle gehören. Wenn beispielsweise die Schnittstelle ge-0/0/0 als schnittstelle konfiguriert und die Clients C1 und C2 authentifiziert und zu den dynamischen VLANs V1 und V2 hinzugefügt werden, müssen V1 und V2 zu verschiedenen
supplicant multiple
PVLAN-Domänen gehören.Wenn das VoIP-VLAN und das Daten-VLAN unterschiedlich sind, müssen sich diese beiden VLANs in unterschiedlichen PVLAN-Domänen befinden.
Wenn die PVLAN-Mitgliedschaft geändert wird (d. h. eine Schnittstelle in einem anderen PVLAN neu konfiguriert wird), müssen Die Clients erneut authentifiziert werden.
Beispiel: Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
- Anforderungen
- Überblick
- Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
- Überprüfung
Anforderungen
Junos OS Release-18.2R1 oder höher
EX2300-, EX3400- oder EX4300-Switch
Geben Sie zunächst den serverbasierten RADIUS an, der bzw. die als Authentifizierungsserver verwendet werden sollen. Siehe Spezifizieren RADIUS Serververbindungen auf Switches (CLI-Prozedur).
Überblick
Im folgenden Konfigurationsabschnitt wird die Konfiguration des Zugriffsprofils, die Konfiguration der 802.1X-Authentifizierung und schließlich die Konfiguration der VLANs (einschließlich PVLANs) erläutert.
Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
Verfahren
CLI-Konfiguration
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Schritt-für-Schritt-Verfahren
So konfigurieren Sie 802.1X-Authentifizierung und PVLANs in einer Konfiguration:
Zugriffsprofil konfigurieren:
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
Anmerkung:Das konfigurierte VoIP-VLAN darf kein PVLAN (primär, community oder isoliert) sein.
Konfigurieren Sie die 802.1X-Einstellungen:
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
Anmerkung:Das konfigurierte Daten-VLAN kann auch ein Community-VLAN oder ein isoliertes VLAN sein.
Konfigurieren Sie die VLANs (einschließlich PVLANs):
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die folgenden show
Befehle auf dem Switch eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@switch# show access radius-server { 10.20.9.199 { port 1812; secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA } } profile dot1x-auth { authentication-order radius; } profile authp { authentication-order radius; radius { authentication-server 10.204.96.165; } } user@switch# show interfaces ge-0/0/8 { unit 0 { family ethernet-switching { interface-mode access; vlan { members data; } } } } user@switch# show protocols dot1x { authenticator { authentication-profile-name authp; interface { ge-0/0/8.0 { supplicant multiple; mac-radius; } } } } user@switch# show switch-options voip { interface ge-0/0/8.0 { vlan voip; } } user@switch# show vlans community { vlan-id 20; private-vlan community; } community-one { vlan-id 30; private-vlan community; } data { vlan-id 43; } isolated { vlan-id 200; private-vlan isolated; } pvlan { vlan-id 2000; isolated-vlan isolated; community-vlans [community community-one]; } voip { vlan-id 33; }
Überprüfung
- Sicherstellen, dass Mac-Adressen von Clients im primären VLAN gelernt werden
- Stellen Sie sicher, dass das primäre VLAN ein authentifiziertes VLAN ist
Sicherstellen, dass Mac-Adressen von Clients im primären VLAN gelernt werden
Zweck
Zeigen Sie, dass im primären VLAN eine Mac-Adresse des Clients gelernt wurde.
Aktion
user@switch> show ethernet-switching table MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC) Ethernet switching table : 1 entries, 1 learned Routing instance : default-switch Vlan MAC MAC Age Logical NH RTR name address flags interface Index ID pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0
Stellen Sie sicher, dass das primäre VLAN ein authentifiziertes VLAN ist
Zweck
Zeigen Sie, dass das primäre VLAN als authentifizierte VLAN angezeigt wird.
Aktion
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Strict: Disabled Reauthentication: Enabled Reauthentication interval: 40 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 1 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user5, 00:30:48:8C:66:BD Operational state: Authenticated Authentication method: Radius Authenticated VLAN: pvlan Reauthentication due in 17 seconds
Access Port-Sicherheit in privaten VLANs
- Understanding Access Port Security on PVLANs
- Konfigurationsrichtlinien für die Putting Access Port Security Features on PVLANs (Konfigurationsrichtlinien für die Installation von Sicherheitsfunktionen für den Zugriffsport in PVLANs)
- Beispiel: Konfigurieren der Zugriffsportsicherheit in einem PVLAN
Understanding Access Port Security on PVLANs
Sie können jetzt Sicherheitsfunktionen für den Zugriffsport, wie DHCP-Snooping, in privaten VLANs (PVLANs) aktivieren.
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Mit der PVLAN-Funktion können Sie eine Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains aufteilen, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird.
Ethernet-LANs sind anfällig für Angriffe wie Address Spoofing (Forging) und Layer 2 Denial of Service (DoS) auf Netzwerkgeräten. Die folgenden Sicherheitsfunktionen für den Zugangsport schützen Ihr Gerät vor Verlust von Informationen und Produktivität, die solche Angriffe verursachen können. Sie können diese Sicherheitsfunktionen jetzt auf einem PVLAN konfigurieren:
DHCP-Snooping: Filter und Blöcke, die DHCP-Servernachrichten auf nicht vertrauenswürdigen Ports senden. DHCP-Snooping baut eine Datenbank mit DHCP-Lease-Informationen, die als DHCP-Snooping-Datenbank bezeichnet wird, und verwaltet sie.
DHCPv6-Snooping – DHCP-Snooping für IPv6.
DHCP-Option 82 – auch als DHCP Relay Agent Information-Option bekannt. Schützt den Switch vor Angriffen wie Spoofing von IP-Adressen und MAC-Adressen und der Aushunger von DHCP-IP-Adressen. Option 82 stellt Informationen zum Netzwerkstandort eines DHCP-Clients zur Verfügung. Der DHCP-Server nutzt diese Informationen zur Implementierung von IP-Adressen oder anderen Parametern für den Client.
DHCPv6-Optionen:
Option 37 – Option mit Remote-ID für DHCPv6; fügt Informationen über den Netzwerkstandort des Remote-Hosts in DHCPv6-Pakete ein.
Option 18 – Circuit ID-Option für DHCPv6; fügt Informationen über den Client-Port in DHCPv6-Pakete ein.
Option 16 – Option mit Anbieter-ID für DHCPv6; fügt Informationen über den Anbieter der Client-Hardware in DHCPv6-Pakete ein.
Dynamic ARP Inspection (DAI): Verhindert ARP-Spoofing-Angriffe (Address Resolution Protocol). ARP-Anforderungen und -Antworten werden mit Einträgen in der DHCP-Snoopingdatenbank verglichen, und Filterungsentscheidungen werden anhand der Ergebnisse dieser Vergleiche getroffen.
IP Source Guard – Verringert die Auswirkungen von IP-Adressen-Spoofing-Angriffen auf das Ethernet-LAN; überprüft die Quell-IP-Adresse im Paket, das über eine nicht vertrauenswürdige Zugriffsschnittstelle mithilfe der DHCP-Snooping-Datenbank gesendet wird. Wenn das Paket nicht validiert werden kann, wird es verworfen.
IPv6 Source Guard – IP Source Guard für IPv6.
IPv6 Neighbor Discovery Inspection – Verhindert IPv6-Adressen-Spoofing-Angriffe; Vergleich von Neighbor Discovery-Anforderungen und Antworten mit Einträgen in der DHCPv6-Snooping-Datenbank, und Filterentscheidungen werden anhand der Ergebnisse dieser Vergleiche getroffen.
Dieses Dokument enthält keine detaillierten Informationen über die Sicherheitsfunktionen für Zugriffsport oder PVLANs. Informationen dazu finden Sie in der Feature-Dokumentation, die diese individuellen Funktionen enthält. Informationen zur Portsicherheit finden Sie im Administrationshandbuch für Sicherheitsservices. Informationen über PVLANs finden Sie unter Ethernet-Switching-Benutzerhandbuch.
Konfigurationsrichtlinien für die Putting Access Port Security Features on PVLANs (Konfigurationsrichtlinien für die Installation von Sicherheitsfunktionen für den Zugriffsport in PVLANs)
Berücksichtigen Sie die folgenden Richtlinien und Beschränkungen für die Konfiguration von Sicherheitsfunktionen für den Zugriffsport in PVLANs:
Sie müssen die gleichen Sicherheitsfunktionen für den Zugriffsport sowohl auf das primäre VLAN als auch auf alle sekundären VLANs anwenden.
Ein PVLAN kann nur eine integrierte Routing und Bridging (IRB)-Schnittstelle haben, und die IRB-Schnittstelle muss sich im primären VLAN finden.
Einschränkungen von Sicherheitskonfigurationen für Zugriffsport bei PVLANs sind die gleichen wie bei Konfigurationen der Sicherheitsfunktionen für Zugriffsport, die nicht in PVLANs sind. Informationen zur Sicherheitsdokumentation für Access Ports finden Sie im Leitfaden Security Services Administration.
Beispiel: Konfigurieren der Zugriffsportsicherheit in einem PVLAN
Anforderungen
Junos OS Release-18.2R1 oder höher
EX4300-Switch
Überblick
Der folgende Abschnitt zur Konfiguration zeigt:
Konfiguration eines privaten VLAN mit dem primären VLAN ( ) und seinen drei sekundären
vlan-pri
VLANs – Community-VLANs (undvlan-hr
vlan-finance
) und isoliertes VLAN (vlan-iso
).Konfiguration der Schnittstellen, die verwendet werden, um Kommunikationen zwischen den Schnittstellen an diesen VLANs zu senden.
Konfiguration der Funktionen für die Zugriffssicherheit auf den primären und sekundären VLANs, aus denen das PVLAN umfasst.

Tabelle 5 die Einstellungen für die Beispieltopologie auf.
Schnittstelle | Beschreibung |
---|---|
ge-0/0/0.0 |
Primäre VLAN (vlan1-pri)-Trunkschnittstelle |
ge-0/0/11.0 |
Benutzer 1, HR-Community (vlan-std.) |
ge-0/0/12.0 |
Benutzer 2, HR-Community (vlan-std.) |
ge-0/0/13.0 |
Benutzer 3, Finance Community (vlan-finance) |
ge-0/0/14.0 |
Benutzer 4, Finance Community (vlan-finance) |
ge-0/0/15.0 |
Mailserver, isoliert (vlan-iso) |
ge-0/0/16.0 |
Backup-Server, isoliert (vlan-iso) |
ge-1/0/0.0 |
Primäre VLAN (vlan-pri)-Trunkschnittstelle |
Konfigurieren der Zugriffsportsicherheit in einem PVLAN
Verfahren
CLI-Konfiguration
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Schritt-für-Schritt-Verfahren
Zur Konfiguration eines privaten VLAN (PVLAN) und zum Konfigurieren der Sicherheitsfunktionen für den Zugriffsport auf diesem PVLAN:
PVLAN konfigurieren: Erstellen Sie das primäre VLAN und die sekundären VLANs, und weisen Sie diesen VLAN-IDs zu. Verbinden Sie Schnittstellen mit den VLANs. (Details zur Konfiguration von VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI Prozedur).
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Konfigurieren Sie Sicherheitsfunktionen für den Zugriffsport auf dem primären VLAN und allen sekundären VLANs:
Anmerkung:Wenn Sie ARP-Prüfung, IP-Quellschutz, IPv6-Quellschutz, Neighbor Discovery Inspection, DHCP Option 82 oder DHCPv6-Optionen konfigurieren, werden DHCP-Snooping und DHCPv6-Snooping automatisch konfiguriert.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die folgenden show
Befehle auf dem Switch eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@switch# show interfaces ge-0/0/0 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members vlan-pri; } } } } ge-1/0/0 { unit 0 { family ethernet-switching { interface-mode trunk; vlan { members vlan-pri; } } } } ge-0/0/11 { unit 0 { family ethernet-switching { interface-mode access; vlan { members vlan-hr; } } } } ge-0/0/12 { unit 0 { family ethernet-switching { interface-mode access; vlan { members vlan-hr; } } } } ge-0/0/13 { unit 0 { family ethernet-switching { interface-mode access; vlan { members vlan-hr; } } } } ge-0/0/14 { unit 0 { family ethernet-switching { interface-mode access; vlan { members vlan-hr; } } } } ge-0/0/15 { unit 0 { family ethernet-switching { interface-mode access; vlan { members vlan-iso; } } } } ge-0/0/16 { unit 0 { family ethernet-switching { interface-mode access; vlan { members vlan-iso; } } } } user@switch# show vlans vlan-finance { vlan-id 300; private-vlan community; interface { ge-0/0/13.0; ge-0/0/14.0; } forwarding-options { dhcp-security { arp-inspection; ip-source-guard; neighbor-discovery-inspection; ipv6-source-guard; option-82; dhcpv6-options light-weight-dhcpv6-relay; dhcpv6-options option-16; } } } vlan-hr { vlan-id 200; private-vlan community; interface { ge-0/0/11.0; ge-0/0/12.0; } forwarding-options { dhcp-security { arp-inspection; ip-source-guard; neighbor-discovery-inspection; ipv6-source-guard; option-82; dhcpv6-options light-weight-dhcpv6-relay; dhcpv6-options option-16; } } } vlan-iso { vlan-id 400; private-vlan isolated; interface { ge-0/0/15.0; ge-0/0/16.0; } forwarding-options { dhcp-security { arp-inspection; ip-source-guard; neighbor-discovery-inspection; ipv6-source-guard; option-82; dhcpv6-options light-weight-dhcpv6-relay; dhcpv6-options option-16; } } } vlan-pri { vlan-id 100; community-vlan vlan-finance; community-vlan vlan-hr; isolated-vlan vlan-iso; interface { ge-0/0/0.0; ge-1/0/0.0; } forwarding-options { dhcp-security { arp-inspection; ip-source-guard; neighbor-discovery-inspection; ipv6-source-guard; option-82; dhcpv6-options light-weight-dhcpv6-relay; dhcpv6-options option-16; } } }
Überprüfung
Stellen Sie sicher, dass die Funktionen der Zugangssicherheit wie erwartet funktionieren
Zweck
Stellen Sie sicher, dass die Sicherheitsfunktionen für den Zugriffsport, die Sie auf Ihrem PVLAN konfiguriert haben, wie erwartet funktionieren.
Aktion
Verwenden Sie show dhcp-security
die und die clear dhcp-security
CLI, um sicherzustellen, dass die Funktionen wie erwartet funktionieren. Details zu diesen Befehlen finden Sie im Security Services Administration Guide.
Erstellen eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung (CLI Verfahren)
Diese Aufgabe verwendet Junos OS für Switches mit Unterstützung des ElS-Konfigurationsstils (Enhanced Layer 2 Software). Wenn Auf Ihrem Switch der EX-Serie Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie (CLI Prozedur). Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.
Private VLANs werden auf Switches QFX5100 Switches QFX10002 Switches, auf denen Junos OS Version 15.1X53 ausgeführt wird, nicht unterstützt.
Aus Sicherheitsgründen ist es oft nützlich, den Broadcast- und unbekannten Unicast-Datenverkehr zu beschränken oder die Kommunikation zwischen bekannten Hosts zu beschränken. Private VLANs (PVLANs) ermöglichen Ihnen die Aufteilung einer Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Unterdomains (sekundäre VLANs), so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. In diesem Verfahren wird die Erstellung eines PVLAN auf einem einzelnen Switch beschrieben.
Sie müssen für jedes sekundäre VLAN eine VLAN-ID angeben, auch wenn das PVLAN auf einem einzelnen Switch konfiguriert ist.
Sie müssen das primäre VLAN nicht vorkonfiguriert haben. In diesem Thema wird gezeigt, dass das primäre VLAN als Teil dieses PVLAN-Konfigurationsverfahrens konfiguriert wird.
Eine Liste von Richtlinien zur Konfiguration von PVLANs finden Sie unter Understanding Private VLANs (Verstehen privater VLANs).
So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:
Erstellen eines privaten VLAN auf einem einzelnen QFX-Switch
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN (PVLAN)-Funktion ermöglicht Ihnen die Aufteilung einer Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains, so dass im Wesentlichen ein sekundäres VLAN in einem primären VLAN wird. In diesem Thema wird die Konfiguration eines PVLAN auf einem einzelnen Switch beschrieben.
Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Sie müssen das primäre VLAN nicht vorkonfiguriert, es wird als Teil dieses Verfahrens konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzelnen Switch konfiguriert werden.
Denken Sie bei der Konfiguration eines PVLAN an diese Regeln:
Das primäre VLAN muss ein TAGGED VLAN sein.
Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren. Sie müssen auch das primäre VLAN per pvlan-Anweisung als privat konfigurieren.
Zur Konfiguration eines isolierten VLAN müssen Sie zuerst das primäre VLAN und den PVLAN-Trunkport konfigurieren.
Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge abschließen, verletzen Sie nicht diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:
Erstellen eines privaten VLAN auf einem einzelnen Switch der EX-Serie (CLI Verfahren)
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht Ihnen die Aufteilung einer Broadcast-Domäne, die auch als primäres VLAN bekannt ist, in mehrere isolierte Broadcast-Unterdomains, die auch als sekundäre VLANs bekannt sind. Die Aufteilung des primären VLAN in sekundäre VLANs verschachtelt im Wesentlichen ein VLAN in einem anderen VLAN. In diesem Thema wird die Konfiguration eines PVLAN auf einem einzelnen Switch beschrieben.
Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Im Gegensatz zu den sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfiguriert werden. Mit diesem Verfahren wird die vollständige Konfiguration des primären VLANs ermöglicht.) Obwohl Tags nicht benötigt werden, wenn ein sekundäres VLAN auf einem einzelnen Switch konfiguriert wird, beeinträchtigt die Konfiguration eines sekundären VLANs als Tagged nicht die Funktionalität. Anweisungen zum Konfigurieren sekundärer VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Denken Sie bei der Konfiguration eines PVLAN auf einem einzelnen Switch an diese Regeln:
Das primäre VLAN muss ein TAGGED VLAN sein.
Die Konfiguration eines VoIP-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:
Isolierte VLANs werden nicht als Teil dieses Prozesses konfiguriert. Stattdessen werden sie intern erstellt, wenn sie im primären VLAN aktiviert sind und das no-local-switching isolierte VLAN Zugriffschnittstellen für Mitglieder auf hat.
Eine optionale Routing-Option zwischen isolierten und Community-VLANs durch Verwendung einer Routing-VLAN-Schnittstelle (RVI) anstelle eines promiscuous-Ports, der mit einem Router verbunden ist, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle ineinem privaten VLAN auf einem Switch der EX-Serie.
Es werden EX8200 Switches EX8200 Virtual Chassis von einem RVI für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne unterstützt.
Erstellen eines privaten VLAN mit mehreren Switches der QFX-Serie
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN (PVLAN)-Funktion ermöglicht Ihnen die Aufteilung einer Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains, so dass im Wesentlichen ein sekundäres VLAN in einem primären VLAN wird. In diesem Thema wird die Konfiguration eines PVLAN für mehrere Switches beschrieben.
Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Sie müssen das primäre VLAN nicht vorkonfiguriert, es wird als Teil dieses Verfahrens konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzelnen Switch konfiguriert werden.
Für die Erstellung von PVLANs gelten die folgenden Regeln:
Das primäre VLAN muss ein TAGGED VLAN sein.
Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren. Sie müssen auch das primäre VLAN per pvlan-Anweisung als privat konfigurieren.
Zur Konfiguration eines isolierten VLAN müssen Sie zuerst das primäre VLAN und den PVLAN-Trunkport konfigurieren.
Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge abschließen, verletzen Sie nicht diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN für die Spaning mehrerer Switches:
Erstellen eines privaten VLAN über mehrere Switches der EX-Serie mit ELS-Unterstützung (CLI Verfahren)
Diese Aufgabe verwendet Junos OS für Switches der EX-Serie mit Unterstützung des Konfigurationsstils der Enhanced Layer 2 Software (ELS) Wenn Ihr Switch Software austrägt, die ELS nicht unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLAN, das mehrere Switches der EX-Serie überspannt (CLI-Prozedur). Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.
Private VLANs werden auf Switches QFX5100 Switches QFX10002 Switches, auf denen Junos OS Version 15.1X53 ausgeführt wird, nicht unterstützt.
Aus Sicherheitsgründen ist es oft nützlich, den Broadcast- und unbekannten Unicast-Datenverkehr zu beschränken oder die Kommunikation zwischen bekannten Hosts zu beschränken. Private VLANs (PVLANs) ermöglichen Ihnen die Aufteilung einer Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Unterdomains (sekundäre VLANs), so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. In diesem Verfahren wird die Konfiguration eines PVLAN für die Spaning mehrerer Switches beschrieben.
Eine Liste von Richtlinien zur Konfiguration von PVLANs finden Sie unter Understanding Private VLANs (Verstehen privater VLANs).
Um ein PVLAN für die Spaning mehrerer Switches zu konfigurieren, führen Sie auf allen Switches, die an PVLAN teilnehmen, folgende Prozeduren durch::
Erstellen eines privaten VLAN über mehrere Switches der EX-Serie (CLI verfahren)
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne, die auch als primäres VLAN bekannt ist, in mehrere isolierte Broadcast-Unterdomains, die auch als sekundäre VLANs bekannt sind, zu aufteilen. Die Aufteilung des primären VLAN in sekundäre VLANs verschachtelt im Wesentlichen ein VLAN in einem anderen VLAN. In diesem Thema wird die Konfiguration eines PVLAN für mehrere Switches beschrieben.
Konfigurieren Sie zunächst die Namen aller sekundären VLANs, die Teil des primären VLANs werden. (Im Gegensatz zu den sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfiguriert werden. Mit diesem Verfahren wird die vollständige Konfiguration des primären VLANs ermöglicht.) Anweisungen zum Konfigurieren sekundärer VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Für die Erstellung von PVLANs gelten die folgenden Regeln:
Das primäre VLAN muss ein TAGGED VLAN sein.
Vor der Konfiguration der sekundären VLANs müssen Sie das primäre VLAN und den PVLAN-Trunkport konfigurieren.
Die Konfiguration eines VoIP-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
Wenn das Multiple VLAN Registration Protocol (MVRP) auf dem PVLAN-Trunkport konfiguriert ist, muss die Konfiguration der sekundären VLANs und des PVLAN-Trunkports im selben Commit-Vorgang durchgeführt werden.
So konfigurieren Sie ein privates VLAN für die Spaning mehrerer Switches:
Eine optionale Routing-Option zwischen isolierten und Community-VLANs durch Verwendung einer Routing-VLAN-Schnittstelle (RVI) anstelle eines promiscuous-Ports, der mit einem Router verbunden ist, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle ineinem privaten VLAN auf einem Switch der EX-Serie.
Es werden EX8200 Switches EX8200 Virtual Chassis von einem RVI für das Routen von Layer 3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne unterstützt.
Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung
In diesem Beispiel wird Junos OS für Switches verwendet, die den Konfigurationsstil der Enhanced Layer 2 Software (ELS) unterstützen. Wenn Auf Ihrem EX-Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der EX-Serie. Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.
Private VLANs werden auf Switches QFX5100 Switches QFX10002 Switches, auf denen Junos OS Version 15.1X53 ausgeführt wird, nicht unterstützt.
Aus Sicherheitsgründen ist es oft nützlich, den Broadcast- und unbekannten Unicast-Datenverkehr zu beschränken oder die Kommunikation zwischen bekannten Hosts zu beschränken. Private VLANs (PVLANs) ermöglichen Ihnen die Aufteilung einer Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Unterdomains (sekundäre VLANs), so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird.
In diesem Beispiel wird die Erstellung eines PVLAN auf einem einzelnen Switch beschrieben:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Junos OS-Switch
Junos OS Release 14.1X53-D10 oder höher für Switches der EX-Serie
Junos OS Release 14.1X53-D15 oder höher für Switches der QFX-Serie
Überblick und Topologie
Sie können Abonnentengruppen isolieren, um die Sicherheit und Effizienz zu verbessern. In diesem Konfigurationsbeispiel wird in einer einfachen Topologie veranschaulicht, wie ein PVLAN mit einem primären VLAN und drei sekundären VLANs (einem isolierten VLAN und zwei Community-VLANs) erstellt wird.
Tabelle 6 listet in diesem Beispiel die Schnittstellen der Topologie auf.
Schnittstelle | Beschreibung |
---|---|
|
Promiscuous-Mitglieder-Ports |
|
VLAN-Mitglieder-Ports für die PERSONAL-Community |
|
VLAN-Mitglieder-Ports der Finanzgemeinschaft |
|
Isolierte Member-Ports |
Tabelle 7 Liste der im Beispiel verwendeten VLAN-IDs der Topologie auf.
VLAN-ID | Beschreibung |
---|---|
|
Primäres VLAN |
|
PERSONAL-Community VLAN |
|
VLAN der Finanzgemeinschaft |
|
Isoliertes VLAN |
Abbildung 15 zeigt die Topologie für dieses Beispiel.

Konfiguration
Sie können ein vorhandenes VLAN als Grundlage für Ihr privates PVLAN nutzen und innerhalb dieses Subdomains erstellen. In diesem Beispiel wird ein primäres VLAN unter Verwendung des VLAN-Namens vlan-pri als Teil des Vorgangs erstellt.
Führen Sie zum Konfigurieren eines PVLAN die folgenden Aufgaben aus:
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, um ein PVLAN schnell zu erstellen und zu konfigurieren, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das PVLAN:
Erstellen Sie das primäre VLAN (in diesem Beispiel der vlan-pri Name) des privaten VLAN:
[edit vlans] user@switch# set vlan-pri vlan-id 100
Erstellen Sie ein isoliertes VLAN und weisen Sie ihm eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Erstellen Sie die HR-Community VLAN und weisen Sie ihr eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Erstellen Sie das VLAN der Finanzgemeinschaft, und weisen Sie ihr eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Die sekundären VLANs mit dem primären VLAN verknüpfen:
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Legen Sie die Schnittstellen auf die entsprechenden Schnittstellenmodi fest:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Konfigurieren Sie eine Promiscuous Trunk-Schnittstelle des primären VLAN. Diese Schnittstelle wird vom primären VLAN für die Kommunikation mit den sekundären VLANs verwendet.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Konfigurieren Sie eine weitere Trunkschnittstelle (es ist auch eine Promiscuous-Schnittstelle) des primären VLAN, um das PVLAN mit dem Router zu verbinden.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der QFX-Serie
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und sogar die Kommunikation zwischen bekannten Hosts zu beschränken. Die private VLAN-Funktion (PVLAN) ermöglicht einem Administrator die Aufteilung einer Broadcast-Domäne auf mehrere isolierte Broadcast-Unterdomains, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird.
In diesem Beispiel wird die Erstellung eines PVLAN auf einem einzelnen Switch beschrieben:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein QFX3500 Gerät
Junos OS 12.1 oder höher für die QFX-Serie
Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Siehe Konfigurieren von VLANs auf Switches .
Überblick und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird eine einfache Topologie veranschaulicht, wie ein PVLAN mit einem primären VLAN und zwei Community-VLANs, einem für die Personalabteilung und einem für die Finanzabteilung sowie zwei isolierten Ports (einen für den Mail-Server und ein anderer für den Backup-Server) erstellt wird.
Tabelle 8 listet die Einstellungen für die Beispieltopologie auf.
Schnittstelle | Beschreibung |
---|---|
|
Primärer VLAN ( |
|
Benutzer 1, HR-Community ( |
|
Benutzer 2, HR-Community ( |
|
Benutzer 3, Finanz-Community ( |
|
Benutzer 4, Finanz-Community ( |
|
Mailserver, isoliert ( |
|
Backup-Server, isoliert ( |
|
Primärer VLAN ( |
Konfiguration
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, um ein PVLAN schnell zu erstellen und zu konfigurieren, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das PVLAN:
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan vlan-id 100
Legen Sie die Schnittstellen und den Port-Modi fest:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:
Anmerkung:Das primäre VLAN muss ein TAGGED VLAN sein.
[edit vlans] user@switch# set pvlan100 pvlan
Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Konfigurieren Sie für jedes sekundäre VLAN Zugriffsschnittstellen:
Anmerkung:Wir empfehlen, dass sekundäre VLANs nicht-tags werden. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen. Bei der Konfiguration eines sekundären VLAN auf einem einzelnen Switch werden die Tags jedoch nicht verwendet.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Legen Sie für jede Community VLAN das primäre VLAN fest:
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members pvlan100; } } } } ge-1/0/0 { unit 0 { family ethernet-switching; } } ge-0/0/11 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/12 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/13 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/14 { unit 0 { family ethernet-switching { port-mode access; } } } vlans { finance-comm { interface { ge-0/0/13.0; ge-0/0/14.0; } primary-vlan pvlan100; } hr-comm { interface { ge-0/0/11.0; ge-0/0/12.0; } primary-vlan pvlan100; } pvlan100 { vlan-id 100; interface { ge-0/0/15.0; ge-0/0/16.0; ge-0/0/0.0; ge-1/0/0.0; } pvlan; } }
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Sicherstellen, dass das private VLAN und sekundäre VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und sekundäre VLANs auf dem Switch ordnungsgemäß erstellt wurden.
Aktion
Verwenden Sie show vlans
den Befehl:
user@switch> show vlans pvlan100 extensive VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008 802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/11.0, untagged, access ge-0/0/12.0, untagged, access ge-0/0/13.0, untagged, access ge-0/0/14.0, untagged, access ge-0/0/15.0, untagged, access ge-0/0/16.0, untagged, access ge-1/0/0.0, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_ge-0/0/15.0__ __pvlan_pvlan_ge-0/0/16.0__ Community VLANs : finance-comm hr-comm user@switch> show vlans hr-comm extensive VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008 Internal index: 22, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/11.0, untagged, access ge-0/0/12.0, untagged, access ge-1/0/0.0, tagged, trunk user@switch> show vlans finance-comm extensive VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008 Internal index: 21, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/13.0, untagged, access ge-0/0/14.0, untagged, access ge-1/0/0.0, tagged, trunk user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008 Internal index: 19, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/15.0, untagged, access ge-1/0/0.0, tagged, trunk user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008 Internal index: 20, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/16.0, untagged, access ge-1/0/0.0, tagged, trunk
Bedeutung
Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde und identifiziert die zugehörigen Schnittstellen und sekundären VLANs.
Beispiel: Konfigurieren eines privaten VLAN auf einem einzelnen Switch der EX-Serie
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains zu unterteilen, so dass im Wesentlichen ein VLAN in ein VLAN einträgt.
In diesem Beispiel wird die Erstellung eines PVLAN auf einem einzelnen Switch der EX-Serie beschrieben:
Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie
Junos OS 9.3 oder höher für Switches der EX-Serie
Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Überblick und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird eine einfache Topologie veranschaulicht, wie ein PVLAN mit einem primären VLAN und zwei Community-VLANs, einem für die Personalabteilung und einem für die Finanzabteilung sowie zwei isolierten Ports (einen für den Mail-Server und ein anderer für den Backup-Server) erstellt wird.
Tabelle 9 die Einstellungen für die Beispieltopologie auf.
Schnittstelle | Beschreibung |
---|---|
ge-0/0/0.0 |
Primärer VLAN ( vlan1 ) Trunkschnittstelle |
ge-0/0/11.0 |
Benutzer 1, HR-Community ( hr-comm ) |
ge-0/0/12.0 |
Benutzer 2, HR-Community ( hr-comm ) |
ge-0/0/13.0 |
Benutzer 3, Finanz-Community ( finance-comm ) |
ge-0/0/14.0 |
Benutzer 4, Finanz-Community ( finance-comm ) |
ge-0/0/15.0 |
Mailserver, isoliert ( isolated ) |
ge-0/0/16.0 |
Backup-Server, isoliert ( isolated ) |
ge-1/0/0.0 |
Primärer VLAN ( pvlan ) Trunkschnittstelle |
Abbildung 16 zeigt die Topologie für dieses Beispiel.

Konfiguration
Führen Sie zum Konfigurieren eines PVLAN die folgenden Aufgaben aus:
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, um ein PVLAN schnell zu erstellen und zu konfigurieren, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das PVLAN:
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set vlan1 vlan-id 1000
Legen Sie die Schnittstellen und den Port-Modi fest:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:
Anmerkung:Das primäre VLAN muss ein TAGGED VLAN sein.
[edit vlans] user@switch# set vlan1 no-local-switching
Fügen Sie die Trunkschnittstellen zum primären VLAN hinzu:
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Konfigurieren Sie für jedes sekundäre VLAN DIE VLAN-IDs und die Zugriffschnittstellen:
Anmerkung:Wir empfehlen, dass sekundäre VLANs nicht-tags werden. Es beeinträchtigt die Leistungsfähigkeit nicht, wenn Sie das sekundäre VLANs kennzeichnen. Bei der Konfiguration eines sekundären VLAN auf einem einzelnen Switch werden die Tags jedoch nicht verwendet.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Legen Sie für jede Community VLAN das primäre VLAN fest:
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Fügen Sie jede isolierte Schnittstelle zum primären VLAN hinzu:
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members vlan1; } } } } ge-1/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members vlan1; } } } } ge-0/0/11 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/12 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/13 { unit 0 { family ethernet-switching { port-mode access; } } } ge-0/0/14 { unit 0 { family ethernet-switching { port-mode access; } } } vlans { finance-comm { vlan-id 300; interface { ge-0/0/13.0; ge-0/0/14.0; } primary-vlan vlan1; } hr-comm { vlan-id 400; interface { ge-0/0/11.0; ge-0/0/12.0; } primary-vlan vlan1; } vlan1 { vlan-id 1000; interface { ge-0/0/15.0; ge-0/0/16.0; ge-0/0/0.0; ge-1/0/0.0; } no-local-switching; } }
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Sicherstellen, dass das private VLAN und sekundäre VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und sekundäre VLANs auf dem Switch ordnungsgemäß erstellt wurden.
Aktion
Verwenden Sie show vlans
den Befehl:
user@switch> show vlans vlan1 extensive VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008 802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/11.0, untagged, access ge-0/0/12.0, untagged, access ge-0/0/13.0, untagged, access ge-0/0/14.0, untagged, access ge-0/0/15.0, untagged, access ge-0/0/16.0, untagged, access ge-1/0/0.0, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __vlan1_vlan1_ge-0/0/15.0__ __vlan1_vlan1_ge-0/0/16.0__ Community VLANs : finance-comm hr-comm user@switch> show vlans hr-comm extensive VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008 802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: vlan1 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/11.0, untagged, access ge-0/0/12.0, untagged, access ge-1/0/0.0, tagged, trunk user@switch> show vlans finance-comm extensive VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008 802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: vlan1 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/13.0, untagged, access ge-0/0/14.0, untagged, access ge-1/0/0.0, tagged, trunk user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008 Internal index: 19, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: vlan1 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/15.0, untagged, access ge-1/0/0.0, tagged, trunk user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008 Internal index: 20, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: vlan1 Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0) ge-0/0/0.0, tagged, trunk ge-0/0/16.0, untagged, access ge-1/0/0.0, tagged, trunk
Bedeutung
Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde und identifiziert die zugehörigen Schnittstellen und sekundären VLANs.
Beispiel: Konfigurieren eines privaten VLAN über mehrere QFX-Switches
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und sogar die Kommunikation zwischen bekannten Hosts zu beschränken. Die private VLAN-Funktion (PVLAN) ermöglicht einem Administrator die Aufteilung einer Broadcast-Domäne auf mehrere isolierte Broadcast-Unterdomains, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. Ein PVLAN kann mehrere Switches umfassen.
In diesem Beispiel wird die Erstellung eines PVLAN über mehrere Switches beschrieben. In diesem Beispiel wird ein primäres PVLAN mit mehreren sekundären VLANs erstellt:
- Anforderungen
- Überblick und Topologie
- Konfigurieren eines PVLAN auf Switch 1
- Konfigurieren eines PVLAN auf Switch 2
- Konfigurieren eines PVLAN auf Switch 3
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei QFX3500 Geräte
Junos OS 12.1 oder höher für die QFX-Serie
Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Siehe Konfigurieren von VLANs auf Switches .
Überblick und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird gezeigt, wie ein PVLAN über mehrere QFX-Geräte mit einem primären VLAN mit zwei Community-VLANs (eines für die Personalabteilung und eines für die Finanzabteilung) und einem isolierten Interswitch-VLAN (für den E-Mail-Server, den Backup-Server und den CVS-Server) erstellt wird. Das PVLAN besteht aus drei Switches, zwei Zugangs-Switches und einem Verteilungs-Switch. Das PVLAN ist über einen Promiscuous-Port mit einem Router verbunden, der auf dem Verteilungs-Switch konfiguriert ist.
Die isolierten Ports auf Switch 1 und auf Switch 2 verfügen nicht über eine Layer 2-Konnektivität miteinander, obwohl sie in der gleichen Domäne enthalten sind. Siehe Verständnis privater VLANs .
Abbildung 17 zeigt die Topologie in diesem Beispiel auf: zwei Zugangs-Switches, die mit einem Verteilungs-Switch verbunden sind, der eine Verbindung (über einen promiscuous Port) zum Router hat.

Tabelle 10und die Einstellungen für die Tabelle 11Tabelle 12 Beispieltopologie auf.
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunkschnittstellen |
ge-0/0/0.0, verbindet Switch 1 mit Switch 3 ge-0/0/5.0, verbindet Switch 1 mit Switch 2 |
Isolierte Schnittstellen im primären VLAN |
ge-0/0/15.0, Mailserver ge-0/0/16.0, Backup-Server |
Schnittstellen in VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen in VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunkschnittstellen |
ge-0/0/0.0, verbindet Switch 2 mit Switch 3 ge-0/0/5.0, verbindet Switch 2 mit Switch 1 |
Isolierte Schnittstelle im primären VLAN |
ge-0/0/17.0, CVS-Server |
Schnittstellen in VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen in VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunkschnittstellen |
ge-0/0/0.0, verbindet Switch 3 mit Switch 1 ge-0/0/1.0, verbindet Switch 3 mit Switch 2 |
Promiscuous Port |
ge-0/0/2, verbindet das PVLAN mit dem Router Anmerkung:
Sie müssen den Trunkport, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Teil des PVLAN konfigurieren, das implizit als Promiscuous-Port konfiguriert wird. |
Topologie
Konfigurieren eines PVLAN auf Switch 1
Bei der Konfiguration eines PVLAN auf mehreren Switches gelten die folgenden Regeln:
Das primäre VLAN muss ein TAGGED VLAN sein. Wir empfehlen, dass Sie das primäre VLAN zuerst konfigurieren.
Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren. Sie müssen auch das primäre VLAN per pvlan-Anweisung als privat konfigurieren.
Wenn Sie eine isolierungs-VLAN-ID konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein, um ein PVLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunkschnittstellen fest, um dieses VLAN über benachbarte Switches zu verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie das primäre VLAN als privat fest und verfügen sie über keine lokale Switching-Aufgabe:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:
[edit vlans] user@switch# set finance-comm vlan-id 300
Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.
[edit vlans] user@switch# set hr-comm vlan-id 400
Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Anmerkung:Wenn Sie einen isolierten Port konfigurieren, gehören Sie ihn als Mitglied des primären VLAN an, konfigurieren Sie ihn aber nicht als Mitglied eines Community-VLAN.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; interface { ge-0/0/11.0; ge-0/0/12.0; } primary-vlan pvlan100; } hr-comm { vlan-id 400; interface { ge-0/0/13.0; ge-0/0/14.0; } primary-vlan pvlan100; } pvlan100 { vlan-id 100; interface { ge-0/0/15.0; ge-0/0/16.0; ge-0/0/0.0 { pvlan-trunk; } ge-0/0/5.0 { pvlan-trunk; } } pvlan; isolation-vlan-id 50; } }
Konfigurieren eines PVLAN auf Switch 2
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 2 ein, um ein privates VLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:
Die Konfiguration von Switch 2 ist mit der Konfiguration von Switch 1 außer der Schnittstelle in der isolierten Domäne zwischen Switches gleich. Für Switch 2 ist die Schnittstelle ge-0/0/17.0 .
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie ein PVLAN auf Switch 2, das sich über mehrere Switches erstreckt:
Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:
[edit vlans] user@switch# set finance-comm vlan-id 300
Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.
[edit vlans] user@switch# set hr-comm vlan-id 400
Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie das primäre VLAN als privat fest und verfügen sie über keine lokale Switching-Aufgabe:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Anmerkung:Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.
Konfiguration der isolierten Schnittstelle im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; interface { ge-0/0/11.0; ge-0/0/12.0; } primary-vlan pvlan100; } hr-comm { vlan-id 400; interface { ge-0/0/13.0; ge-0/0/14.0; } primary-vlan pvlan100; } pvlan100 { vlan-id 100; interface { ge-0/0/15.0; ge-0/0/16.0; ge-0/0/0.0 { pvlan-trunk; } ge-0/0/5.0 { pvlan-trunk; } ge-0/0/17.0; } pvlan; isolation-vlan-id 50; } }
Konfigurieren eines PVLAN auf Switch 3
CLI-Konfiguration
Um Switch 3 so schnell zu konfigurieren, dass er als Verteilungs-Switch dieses PVLAN funktioniert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle ge-0/0/2.0 ist ein Trunkport, der das PVLAN mit einem Router verbindet.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Verfahren
Schritt-für-Schritt-Verfahren
Um Switch 3 zu konfigurieren, der als Verteilungs-Switch für dieses PVLAN verwendet werden soll, führen Sie folgendes Verfahren aus:
Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches umspannt:
[edit vlans] user@switch# set hr-comm vlan-id 400
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Legen Sie das primäre VLAN als privat fest und verfügen sie über keine lokale Switching-Aufgabe:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die die Switches umspannt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Anmerkung:Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; primary-vlan pvlan100; } hr-comm { vlan-id 400; primary-vlan pvlan100; } pvlan100 { vlan-id 100; interface { ge-0/0/0.0 { pvlan-trunk; } ge-0/0/1.0 { pvlan-trunk; } ge-0/0/2.0; } pvlan; isolation-vlan-id 50; } }
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 1 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/15.0*, untagged, access VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/16.0*, untagged, access VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk VLAN: default, Created at: Thu Sep 16 03:03:18 2010 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access ge-0/0/15.0*, untagged, access ge-0/0/16.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_pvlan100_ge-0/0/15.0__ __pvlan_pvlan100_ge-0/0/16.0__ Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Das Pvlan-Trunk- und Inter-Switch-isolierte Felder zeigt, dass dieses PVLAN mehrere Switches umspannt.
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umspannt, auf Switch 2 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/17.0*, untagged, access VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk VLAN: default, Created at: Thu Sep 16 03:03:18 2010 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access ge-0/0/17.0*, untagged, access Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_pvlan100_ge-0/0/17.0__ Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und zeigt, dass es ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes INTERN umfasst. Das Pvlan-Trunk- und Inter-Switch-isolierte Felder zeigt, dass dieses PVLAN mehrere Switches umspannt. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum selben PVLAN gehören ( pvlan100 ).
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 3 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk VLAN: default, Created at: Thu Sep 16 03:03:18 2010 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1 Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass PVLAN ( ) auf Switch 3 konfiguriert ist und keine pvlan100 isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Switch 3 kann jedoch als Verteilungs-Switch verwendet werden, sodass die Ausgabe keine Zugriffschnittstellen innerhalb des PVLAN umfasst. Es zeigt nur die Schnittstellen, die eine Verbindung von Switch 3 zu den anderen pvlan-trunkpvlan100 Switches (Switch 1 und Switch 2) im gleichen PVLAN herstellen.
Beispiel: Konfigurieren eines privaten VLAN über mehrere Switches mit einer IRB-Schnittstelle
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und sogar die Kommunikation zwischen bekannten Hosts zu beschränken. Die private VLAN-Funktion (PVLAN) ermöglicht einem Administrator die Aufteilung einer Broadcast-Domäne auf mehrere isolierte Broadcast-Unterdomains, so dass ein VLAN im Wesentlichen in ein VLAN übertragen wird. Ein PVLAN kann mehrere Switches umfassen. In diesem Beispiel wird die Erstellung eines PVLAN über mehrere Switches beschrieben. In diesem Beispiel wird ein primäres PVLAN mit mehreren sekundären VLANs erstellt.
Genau wie die normalen VLANs sind PVLANs auf Layer 2 isoliert und erfordern normalerweise die Verwendung eines Layer-3-Geräts für das Routen von Datenverkehr. Beginnen mit Junos OS 14.1X53-D30, können Sie eine integrierte Routing und Bridging (IRB)-Schnittstelle verwenden, um Layer-3-Datenverkehr zwischen mit einem PVLAN verbundenen Geräten zu routen. Durch die Verwendung einer IRB-Schnittstelle können die Geräte im PVLAN auf Layer 3 auch mit Geräten in anderen Communitys oder isolierten VLANs oder mit Geräten außerhalb des PVLAN kommunizieren. In diesem Beispiel wird auch veranschaulicht, wie eine IRB-Schnittstelle in eine PVLAN-Konfiguration mit einf wird.
- Anforderungen
- Überblick und Topologie
- Konfigurationsübersicht
- Konfigurieren eines PVLAN auf Switch 1
- Konfigurieren eines PVLAN auf Switch 2
- Konfigurieren eines PVLAN auf Switch 3
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei Switches der QFX-serie EX4600 Switches
Junos OS mit PVLAN für die QFX-Serie oder andere EX4600
Überblick und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird gezeigt, wie ein PVLAN über mehrere Switches mit einem primären VLAN mit zwei Community-VLANs (eines für die Personalabteilung und eines für die Finanzabteilung) und eines isolierten Interswitch-VLANs (für den E-Mail-Server, den Backup-Server und den CVS-Server) erstellt wird. Das PVLAN besteht aus drei Switches – zwei Zugangs-Switches und einem Verteilungs-Switch. Die Geräte im PVLAN sind auf Layer 3 über eine auf dem Verteilungs-Switch konfigurierte IRB-Schnittstelle miteinander und mit Geräten außerhalb des PVLAN verbunden.
Die isolierten Ports auf Switch 1 und auf Switch 2 verfügen nicht über eine Layer 2-Konnektivität miteinander, obwohl sie in der gleichen Domäne enthalten sind. Siehe Verständnis privater VLANs .
Abbildung 18 zeigt die Topologie für dieses Beispiel.

Tabelle 13und die Einstellungen für die Tabelle 14Tabelle 15 Beispieltopologie auf.
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Linkschnittstellen |
|
Isolierte Schnittstellen im primären VLAN |
|
Schnittstellen in VLAN |
|
Schnittstellen in VLAN |
|
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Linkschnittstellen |
|
Isolierte Schnittstelle im primären VLAN |
|
Schnittstellen in VLAN |
|
Schnittstellen in VLAN |
|
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Linkschnittstellen |
|
Promiscuous Port |
Anmerkung:
Sie müssen den Trunkport, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Teil des PVLAN konfigurieren, das implizit als Promiscuous-Port konfiguriert wird. |
IRB-Schnittstelle |
Konfigurieren Sie unbeschränktes Proxy-ARP auf der IRB-Schnittstelle, um die ARP-Auflösung zu ermöglichen, sodass Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. Für IPv6-Datenverkehr müssen Sie eine IRB-Adresse explizit der Zieladresse zuordnen, um eine ARP-Auflösung zu ermöglichen. |
Topologie
Konfigurationsübersicht
Bei der Konfiguration eines PVLAN auf mehreren Switches gelten die folgenden Regeln:
Das primäre VLAN muss ein TAGGED VLAN sein.
Das primäre VLAN ist das einzige VLAN, das Mitglied einer Interswitch-Linkschnittstelle sein kann.
Bei der Konfiguration einer IRB-Schnittstelle in einem PVLAN gelten die folgenden Regeln:
Sie können in einem PVLAN nur eine IRB-Schnittstelle erstellen, unabhängig davon, wie viele Switches am PVLAN beteiligt sind.
Die IRB-Schnittstelle muss ein Mitglied des primären VLANs im PVLAN sein.
Jedes Hostgerät, das auf Layer 3 verbunden werden soll, muss als Standard-Gateway-Adresse eine IP-Adresse der IRB verwenden.
Konfigurieren eines PVLAN auf Switch 1
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein, um ein PVLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Verfahren
Schritt-für-Schritt-Verfahren
Konfigurieren Sie die Schnittstelle xe-0/0/0 zu einem Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 zu einem Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie Die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs transportiert:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das Community-VLAN für die Finanzabteilung:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Erstellen Sie das Community-VLAN für die HR-Organisation:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Erstellen Sie das isolierte VLAN für Mail- und Backup-Server:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Erstellen Sie das primäre VLAN, und machen Sie die Community und die isolierten VLANs zu Mitgliedern dieses:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Konfigurieren Sie VLAN 300 (das Community-VLAN) als Mitglied der Schnittstelle xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/15:
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/16:
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; private-vlan community; } hr-comm { vlan-id 400; private-vlan community; } isolated-vlan{ vlan-id 50; private-vlan isolated; } pvlan100 { vlan-id 100; isolated-vlan 50; community-vlans [300 400] } }
Konfigurieren eines PVLAN auf Switch 2
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 2 ein, um ein privates VLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:
Die Konfiguration von Switch 2 ist mit der Konfiguration von Switch 1 außer dem isolierten VLAN gleich. Für Switch 2 ist die isolierte VLAN-Schnittstelle xe-0/0/17.0
.
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Verfahren
Schritt-für-Schritt-Verfahren
Konfigurieren Sie die Schnittstelle xe-0/0/0 zu einem Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 zu einem Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie Die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs transportiert:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das Community-VLAN für die Finanzabteilung:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Erstellen Sie das Community-VLAN für die HR-Organisation:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Erstellen Sie das isolierte VLAN für Mail- und Backup-Server:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Erstellen Sie das primäre VLAN, und machen Sie die Community und die isolierten VLANs zu Mitgliedern dieses:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Konfigurieren Sie VLAN 300 (das Community-VLAN) als Mitglied der Schnittstelle xe-0/0/11:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/17:
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; private-vlan community; } hr-comm { vlan-id 400; private-vlan community; } isolated-vlan{ vlan-id 50; private-vlan isolated; } pvlan100 { vlan-id 100; isolated-vlan 50; community-vlans [300 400] } }
Konfigurieren eines PVLAN auf Switch 3
CLI-Konfiguration
Um Switch 3 so schnell zu konfigurieren, dass er als Verteilungs-Switch dieses PVLAN funktioniert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:
Schnittstelle xe-0/0/2.0 ist ein Trunkport, der das PVLAN mit einem anderen Netzwerk verbindet.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Verfahren
Schritt-für-Schritt-Verfahren
Um Switch 3 zu konfigurieren, der als Verteilungs-Switch für dieses PVLAN verwendet werden soll, führen Sie folgendes Verfahren aus:
Konfigurieren Sie die Schnittstelle xe-0/0/0 zu einem Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 zu einem Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie Die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs transportiert:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/2 (die Promiscuous-Schnittstelle) zu einem Trunk:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Konfiguration von pvlan100 als Mitglied der Schnittstelle xe-0/0/2:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das primäre VLAN:
[edit vlans] set vlans pvlan100 vlan-id 100
Erstellen Sie die IRB-Schnittstelle, und weisen Sie ihr eine Adresse im Subnetz zu, die von den Geräten verwendet wird, die an
irb
Switches 1 und 2 angeschlossen sind:[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
Anmerkung:Jedes Hostgerät, das auf Layer 3 verbunden werden soll, muss sich im selben Subnetz wie die IRB-Schnittstelle befinden und die IP-Adresse der IRB-Schnittstelle als Standard-Gatewayadresse verwenden.
Füllen Sie die IRB-Schnittstellenkonfiguration durch Verbindung der Schnittstelle mit dem primären VLAN
pvlan100
aus:[edit vlans] set pvlan100 l3-interface irb.100
Konfigurieren Sie unbeschränktes Proxy-ARP für jede Einheit der IRB-Schnittstelle, sodass die ARP-Auflösung für IPv4-Datenverkehr funktioniert:
[edit interfaces] set irb unit 100 proxy-arp unrestricted
Anmerkung:Da die Geräte in der Community und isolierten VLANs auf Layer 2 isoliert sind, ist dieser Schritt erforderlich, um eine ARP-Auflösung zwischen den VLANs zu ermöglichen, sodass Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. (Für IPv6-Datenverkehr müssen Sie explizit eine IRB-Adresse der Zieladresse zuordnen, um ARP-Auflösung zu ermöglichen.)
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { pvlan100{ vlan-id 100; } }
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 1 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk VLAN: default, Created at: Wed Sep 16 03:03:18 2015 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015 802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access xe-0/0/12.0*, untagged, access VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015 802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access xe-0/0/14.0*, untagged, access VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access xe-0/0/12.0*, untagged, access xe-0/0/13.0*, untagged, access xe-0/0/14.0*, untagged, access xe-0/0/15.0*, untagged, access xe-0/0/16.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_pvlan100_xe-0/0/15.0__ __pvlan_pvlan100_xe-0/0/16.0__ Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Das Vorhandensein von Trunks und isolierten Zwischen-Switch-Feldern zeigt, dass dieses PVLAN mehrere Switches umspannt.
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umspannt, auf Switch 2 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/17.0*, untagged, access VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015 802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk VLAN: default, Created at: Wed Sep 16 03:03:18 2015 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015 802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access xe-0/0/12.0*, untagged, access VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015 802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access xe-0/0/14.0*, untagged, access VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5) xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access xe-0/0/12.0*, untagged, access xe-0/0/13.0*, untagged, access xe-0/0/14.0*, untagged, access xe-0/0/17.0*, untagged, access Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_pvlan100_xe-0/0/17.0__ Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und zeigt, dass es ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes INTERN umfasst. Das Vorhandensein von Trunks und isolierten Zwischen-Switch-Feldern zeigt, dass dieses PVLAN mehrere Switches umspannt. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum selben PVLAN gehören ( pvlan100
).
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 3 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015 802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) xe-0/0/0.0*, tagged, trunk xe-0/0/1.0*, tagged, trunk VLAN: default, Created at: Wed Sep 16 03:03:18 2015 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015 802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) xe-0/0/0.0*, tagged, trunk xe-0/0/1.0*, tagged, trunk VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015 802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) xe-0/0/0.0*, tagged, trunk xe-0/0/1.0*, tagged, trunk VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) xe-0/0/0.0*, tagged, trunk xe-0/0/1.0*, tagged, trunk Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1 Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass PVLAN ( ) auf Switch 3 konfiguriert ist und keine pvlan100
isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Switch 3 kann jedoch als Verteilungs-Switch verwendet werden, sodass die Ausgabe keine Zugriffschnittstellen innerhalb des PVLAN umfasst. Es zeigt nur die Trunkschnittstellen, die eine Verbindung von Switch 3 zu den anderen pvlan100
Switches (Switch 1 und Switch 2) im gleichen PVLAN herstellen.
Beispiel: Konfigurieren eines privaten VLAN über mehrere Switches der EX-Serie
Aus Sicherheitsgründen ist es oft nützlich, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr zu beschränken und die Kommunikation zwischen bekannten Hosts sogar zu beschränken. Die private VLAN-Funktion (PVLAN) auf Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Unterdomains zu unterteilen, so dass im Wesentlichen ein VLAN in ein VLAN einträgt. Ein PVLAN kann mehrere Switches umfassen.
In diesem Beispiel wird die Erstellung eines PVLAN über mehrere Switches der EX-Serie beschrieben. In diesem Beispiel wird ein primäres PVLAN mit mehreren sekundären VLANs erstellt:
Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
- Anforderungen
- Überblick und Topologie
- Konfigurieren eines PVLAN auf Switch 1
- Konfigurieren eines PVLAN auf Switch 2
- Konfigurieren eines PVLAN auf Switch 3
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei Switches der EX-Serie
Junos OS 10.4 oder höher für Switches der EX-Serie
Bevor Sie mit der Konfiguration eines PVLAN beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Überblick und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie aus Sicherheitsgründen möglicherweise einige Arbeitsgruppen oder andere Endgeräte isolieren oder die Broadcast-Domäne partitionieren. In diesem Konfigurationsbeispiel wird gezeigt, wie ein PVLAN über mehrere Switches der EX-Serie mit einem primären VLAN mit zwei Community-VLANs (ein für die Personalabteilung und eines für die Finanzabteilung) und einem isolierten Interswitch-VLAN (für den E-Mail-Server, den Backup-Server und den CVS-Server) erstellt wird. Das PVLAN besteht aus drei Switches, zwei Zugangs-Switches und einem Verteilungs-Switch. Das PVLAN ist über einen Promiscuous-Port mit einem Router verbunden, der auf dem Verteilungs-Switch konfiguriert ist.
Die isolierten Ports auf Switch 1 und Switch 2 sind nicht miteinander verbunden, obwohl sie in der gleichen Domäne enthalten sind. Erfahren Sie mehr über private VLANs.
Abbildung 19 zeigt die Topologie in diesem Beispiel auf: zwei Zugangs-Switches, die mit einem Verteilungs-Switch verbunden sind, der eine Verbindung (über einen promiscuous Port) zum Router hat.

Tabelle 16und die Einstellungen für die Tabelle 17Tabelle 18 Beispieltopologie auf.
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunkschnittstellen |
ge-0/0/0.0, Verbindet Switch 1 mit Switch 3 ge-0/0/5.0, Verbindet Switch 1 mit Switch 2 |
Schnittstellen in VLAN isolation |
ge-0/0/15.0, Mailserver ge-0/0/16.0, Backup-Server |
Schnittstellen in VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen in VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunkschnittstellen |
ge-0/0/0.0, Verbindet Switch 2 mit Switch 3 ge-0/0/5.0, Verbindet Switch 2 mit Switch 1 |
Schnittstellen in VLAN isolation |
ge-0/0/17.0,CVS-Server |
Schnittstellen in VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen in VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
Eigenschaft | Einstellungen |
---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunkschnittstellen |
ge-0/0/0.0, Verbindet Switch 3 mit Switch 1 ge-0/0/1.0, Verbindet Switch 3 mit Switch 2 |
Promiscuous Port |
ge-0/0/2, verbindet DAS PVLAN mit dem Router Anmerkung:
Sie müssen den Trunkport, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLAN verbindet, als Teil des PVLAN konfigurieren, das implizit als Promiscuous-Port konfiguriert wird. |
Topologie
Konfigurieren eines PVLAN auf Switch 1
CLI-Konfiguration
Bei der Konfiguration eines PVLAN auf mehreren Switches gelten die folgenden Regeln:
Das primäre VLAN muss ein TAGGED VLAN sein. Wir empfehlen, dass Sie das primäre VLAN zuerst konfigurieren.
Die Konfiguration eines Voice-over-IP (VoIP)-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.
Wenn Sie eine isolierungs-VLAN-ID konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.
Sekundäre VLANs und der PVLAN-Trunkport müssen auf einem einzigen Commit verpflichtet werden, wenn MVRP auf dem PVLAN-Trunkport konfiguriert ist.
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein, um ein PVLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Verfahren
Führen Sie die Konfigurationsschritte unten in der dargestellten Reihenfolge aus – führen Sie auch alle Schritte aus, bevor Sie die Konfiguration in einem einzigen Commit festlegen. Dies ist die einfachste Methode, Fehlermeldungen zu vermeiden, die durch eine Verletzung einer der drei Regeln ausgelöst werden:
Wenn Sie eine VLAN-ID für die Community konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.
Wenn Sie eine isolierungs-VLAN-ID konfigurieren möchten, müssen Sie zunächst das primäre VLAN und den PVLAN-Trunkport konfigurieren.
Sekundäre VLANs und ein PVLAN-Trunk müssen auf einem einzigen Commit festlegen.
So konfigurieren Sie ein PVLAN auf Switch 1, das sich über mehrere Switches erstreckt:
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:
[edit vlans] user@switch# set pvlan100 no-local-switching
Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.
[edit vlans] user@switch# hr-comm vlan-id 400
Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Richten Sie die isolierte ID zwischen Switches ein, um eine isolierte Domäne zwischen Switches zu erstellen, die die Switches umfasst:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Anmerkung:Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; interface { ge-0/0/11.0; ge-0/0/12.0; } primary-vlan pvlan100; } hr-comm { vlan-id 400; interface { ge-0/0/13.0; ge-0/0/14.0; } primary-vlan pvlan100; } pvlan100 { vlan-id 100; interface { ge-0/0/15.0; ge-0/0/16.0; ge-0/0/0.0 { pvlan-trunk; } ge-0/0/5.0 { pvlan-trunk; } } no-local-switching; isolation-id 50; } }
Konfigurieren eines PVLAN auf Switch 2
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 2 ein, um ein privates VLAN über mehrere Switches hinweg schnell zu erstellen und zu konfigurieren:
Die Konfiguration von Switch 2 ist mit der Konfiguration von Switch 1 außer der Schnittstelle in der isolierten Domäne zwischen Switches gleich. Für Switch 2 ist die Schnittstelle ge-0/0/17.0 .
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie ein PVLAN auf Switch 2, das sich über mehrere Switches erstreckt:
Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Konfigurieren Sie Zugangsschnittstellen für finance-comm das VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches überspannt.
[edit vlans] user@switch# hr-comm vlan-id 400
Konfigurieren Sie Zugangsschnittstellen für hr-comm das VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:
[edit vlans] user@switch# set pvlan100 no-local-switching
Richten Sie die isolierte ID zwischen Switches ein, um eine isolierte Domäne zwischen Switches zu erstellen, die die Switches umfasst:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Anmerkung:Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; interface { ge-0/0/11.0; ge-0/0/12.0; } primary-vlan pvlan100; } hr-comm { vlan-id 400; interface { ge-0/0/13.0; ge-0/0/14.0; } primary-vlan pvlan100; } pvlan100 { vlan-id 100; interface { ge-0/0/15.0; ge-0/0/16.0; ge-0/0/0.0 { pvlan-trunk; } ge-0/0/5.0 { pvlan-trunk; } ge-0/0/17.0; } no-local-switching; isolation-id 50; } }
Konfigurieren eines PVLAN auf Switch 3
CLI-Konfiguration
Um Switch 3 so schnell zu konfigurieren, dass er als Verteilungs-Switch dieses PVLAN funktioniert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle ge-0/0/2.0 ist ein Trunkport, der das PVLAN mit einem Router verbindet.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Verfahren
Um Switch 3 zu konfigurieren, der als Verteilungs-Switch für dieses PVLAN verwendet werden soll, führen Sie folgendes Verfahren aus:
Legen Sie die VLAN-ID für das finance-comm Community-VLAN fest, das die Switches umspannt:
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community finance-comm fest:
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für die HR-Community VLAN fest, die die Switches umspannt:
[edit vlans] user@switch# hr-comm vlan-id 400
Legen Sie das primäre VLAN dieses sekundären VlaNs der Community hr-comm fest:
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunkschnittstellen fest, die dieses VLAN über benachbarte Switches verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Richten Sie das primäre VLAN so ein, dass keine lokale Switching-Aufgabe verfügbar ist:
[edit vlans] user@switch# set pvlan100 no-local-switching
Richten Sie die isolierte ID zwischen Switches ein, um eine isolierte Domäne zwischen Switches zu erstellen, die die Switches umfasst:
[edit vlans] user@switch# set pvlan100 isolation-id 50
Anmerkung:Um einen isolierten Port zu konfigurieren, gehören Sie ihn zu den Mitgliedern des primären VLAN, konfigurieren Sie ihn aber nicht als zu einem der Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit] user@switch# show vlans { finance-comm { vlan-id 300; primary-vlan pvlan100; } hr-comm { vlan-id 400; primary-vlan pvlan100; } pvlan100 { vlan-id 100; interface { ge-0/0/0.0 { pvlan-trunk; } ge-0/0/1.0 { pvlan-trunk; } ge-0/0/2.0; } no-local-switching; isolation-id 50; } }
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden
- Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 1 erstellt wurde
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 1 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/15.0*, untagged, access VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/16.0*, untagged, access VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk VLAN: default, Created at: Thu Sep 16 03:03:18 2010 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access ge-0/0/15.0*, untagged, access ge-0/0/16.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_pvlan100_ge-0/0/15.0__ __pvlan_pvlan100_ge-0/0/16.0__ Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Die Präsenz der Felder pvlan-trunk zeigt, dass dieses PVLAN mehr als Inter-switch-isolated einen Switch umspannt.
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die mehrere Switches umspannt, auf Switch 2 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/17.0*, untagged, access VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk VLAN: default, Created at: Thu Sep 16 03:03:18 2010 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/5.0*, tagged, trunk, pvlan-trunk ge-0/0/11.0*, untagged, access ge-0/0/12.0*, untagged, access ge-0/0/13.0*, untagged, access ge-0/0/14.0*, untagged, access ge-0/0/17.0*, untagged, access Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_pvlan100_ge-0/0/17.0__ Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde, und zeigt, dass es zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes VLAN zwischen den Switches umfasst. Die Präsenz der Felder zeigt, dass es sich dabei um PVLAN handelt, pvlan-trunkInter-switch-isolated das mehrere Switches umfasst. Wenn Sie diese Ausgabe mit der Ausgabe von Switch 1 vergleichen, sehen Sie, dass beide Switches zum selben PVLAN gehören ( pvlan100 ).
Sicherstellen, dass das primäre VLAN und sekundäre VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration über mehrere Switches hinweg auf Switch 3 ordnungsgemäß funktioniert:
Aktion
Verwenden Sie show vlans
extensive
den Befehl:
user@switch> show vlans extensive VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk VLAN: default, Created at: Thu Sep 16 03:03:18 2010 Internal index: 2, Admin State: Enabled, Origin: Static Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0) VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: pvlan100 Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010 802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0) ge-0/0/0.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, tagged, trunk, pvlan-trunk Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1 Community VLANs : finance-comm hr-comm Inter-switch-isolated VLAN : __pvlan_pvlan100_isiv__
Bedeutung
Die Ausgabe zeigt, dass DAS PVLAN ( ) auf Switch 3 konfiguriert ist und zwei pvlan100 isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN umfasst. Switch 3 kann jedoch als Verteilungs-Switch verwendet werden, sodass die Ausgabe keine Zugriffschnittstellen innerhalb des PVLAN umfasst. Es zeigt nur die Schnittstellen, die eine Verbindung von Switch 3 zu den anderen pvlan-trunkpvlan100 Switches (Switch 1 und Switch 2) im gleichen PVLAN herstellen.
Beispiel: Konfigurieren von PVLANs mit sekundären VLAN-Trunk-Ports und promiscuous Access-Ports auf einem Switch der QFX-Serie
In diesem Beispiel wird gezeigt, wie Sie sekundäre VLAN-Trunkports und Promiscuous Access-Ports als Teil einer privaten VLAN-Konfiguration konfigurieren. Sekundäre VLAN-Trunk-Ports tragen sekundären VLAN-Datenverkehr.
In diesem Beispiel Junos OS Switches verwendet, die den ElS-Konfigurationsstil (Enhanced Layer 2 Software) nicht unterstützen. Weitere Informationen zu ELS finden Sie unter Verwenden der Enhanced Layer 2-Software CLI.
Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunkport Datenverkehr für nur ein sekundäres VLAN transportieren. Ein sekundärer VLAN-Trunkport kann jedoch Datenverkehr für mehrere sekundäre VLANs portieren, solange jedes sekundäre VLAN Mitglied eines anderen privaten (primären) VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunkport Datenverkehr für ein Community-VLAN, das Teil des primären VLAN pvlan100 ist, und Datenverkehr für ein isoliertes VLAN, das Teil des primären VLAN pvlan400 ist, weiter tragen.
Verwenden Sie zum Konfigurieren eines Trunkports isolated für den sekundären VLAN-Datenverkehr die isolierten Anweisungen und Anweisungen, wie in Schritten und der Beispielkonfiguration interface
für Switch 1213 1 dargestellt.
Wenn der Datenverkehr von einem sekundären VLAN-Trunkport ausgehend wird, transportiert er normalerweise den Tag des primären VLAN, dem der sekundäre Port gehört. Wenn Sie den Datenverkehr, der von einem sekundären VLAN-Trunkport ausgehend wird, zum Behalten des sekundären VLAN-Tags möchten, verwenden Sie die Extend-Secondary-vlan-id-Anweisung.
Ein promiscuous Access-Port transportiert nicht zusammenhängenden Datenverkehr und kann nur Teil eines primären VLANs sein. Datenverkehr, der an einem promiscuous Access-Port einfügbar ist, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, zu denen der promiscuous Access Port gehört. Dieser Datenverkehr transportiert die entsprechenden sekundären VLAN-Tags, wenn er von den sekundären VLAN-Ports abfing, wenn der sekundäre VLAN-Port ein Trunk-Port ist.
Verwenden Sie die Promiscuous-Anweisung, um einen Zugriffsport als Promiscuous zu konfigurieren, wie in der Beispielkonfiguration für 12 Switch 2 dargestellt.
Wenn der Datenverkehr über einen sekundären VLAN-Port ein- und ausgehend an einem promiscuous Access-Port liegt, wird der Datenverkehr nicht tags tags auf dem Ausgangspunkt versiert. Wenn Tagged Traffic-Ingresses auf einem Promiscuous Access-Port, wird der Datenverkehr verworfen.
- Anforderungen
- Überblick und Topologie
- Konfiguration der PVLANs auf Switch 1
- Konfiguration der PVLANs auf Switch 2
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei QFX-Geräte
Junos OS 12.2 oder höher für die QFX-Serie
Überblick und Topologie
Abbildung 20 zeigt die in diesem Beispiel verwendete Topologie. Switch 1 umfasst mehrere primäre und sekundäre private VLANs und zwei sekundäre VLAN-Trunk-Ports, die für sekundäre VLANs konfiguriert sind, die Mitglieder der primären VLANs pvlan100 und pvlan400 sind.
Switch 2 umfasst die gleichen privaten VLANs. Die Abbildung zeigt xe-0/0/0 auf Switch 2, wie sie mit promiscuous Access-Ports oder Promiscuous Trunk-Ports konfiguriert ist. In der hier enthaltenen Beispielkonfiguration wird dieser Port als promiscuous Access-Port konfiguriert.
Die Abbildung zeigt auch, wie der Datenverkehr nach dem Ingressing an den sekundären VLAN-Trunkports auf Switch 1 fließen würde.

Tabelle 19 und Tabelle 20 listen Sie die Einstellungen für die Beispieltopologie auf beiden Switches auf.
Komponente | Beschreibung |
---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
comm300, ID 300 |
Community VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
Isolierung – vlan-id 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0.0 |
Sekundärer VLAN-Trunkport für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/1.0 |
PVLAN-Trunkport für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2.0 |
Isolierter Zugriffsport für pvlan100 |
xe-0/0/3.0 |
Community-Zugangsport für comm300 |
xe-0/0/5.0 |
Isolierter Zugriffsport für pvlan400 |
xe-0/0/6.0 |
Community-Trunk-Port für comm600 |
Komponente | Beschreibung |
---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
comm300, ID 300 |
Community VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
Isolierung – vlan-id 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0.0 |
Promiscuous Access-Port für primäre VLANs pvlan100 |
xe-0/0/1.0 |
PVLAN-Trunkport für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2.0 |
Sekundärer Trunk-Port für isoliertes VLAN, Mitglied von pvlan100 |
xe-0/0/3.0 |
Community-Zugangsport für comm300 |
xe-0/0/5.0 |
Isolierter Zugriffsport für pvlan400 |
xe-0/0/6.0 |
Community-Zugangsport für comm600 |
Konfiguration der PVLANs auf Switch 1
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein, um die PVLANs auf Switch 1 schnell zu erstellen und zu konfigurieren:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
Zur Konfiguration der privaten VLANs und sekundären VLAN-Trunk-Ports:
Konfiguration der Schnittstellen und Port-Modi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Anmerkung:Primäre VLANs müssen immer ALS VLANs gekennzeichnet werden, auch wenn sie auf nur einem Gerät vorhanden sind.
Konfiguration der primären VLANs als privat:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfiguration des PVLAN-Trunkports zur Übertragung des privaten VLAN-Datenverkehrs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Sekundäres VLAN comm300 mit VLAN-ID 300 erstellen:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Sekundäres VLAN comm600 mit VLAN-ID 600 erstellen:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Konfiguration der isolierten Interswitch-VLANs:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Anmerkung:Wenn Sie einen sekundären VLAN-Trunkport für die Übertragung eines isolierten VLAN konfigurieren, müssen Sie auch eine Isolations-vlan-id konfigurieren. Dies gilt sogar, wenn das isolierte VLAN nur auf einem Switch vorhanden ist.
Ermöglichen des Trunkports xe-0/0/0 für die Übertragung sekundärer VLANs für die primären VLANs:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Konfiguration des Trunkports xe-0/0/0 für die Übertragung von comm600 (Mitglied von pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
Anmerkung:Sie müssen xe-0/0/0 nicht explizit konfigurieren, um den isolierten VLAN-Datenverkehr (Tags 200 und 500) zu tragen, da alle isolierten Ports in pvlan100 und pvlan400, einschließlich xe-0/0/0.0, automatisch in die isolierten VLANs aufgenommen werden, die bei der Konfiguration und
isolation-vlan-id 200
isolation-vlan-id 500
.Konfigurieren Sie xe-0/0/2 und xe-0/0/6, um isoliert zu werden:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 1:
[edit] user@switch# show interfaces { xe-0/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members pvlan100; members pvlan400; } } } } xe-0/0/1 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members pvlan100; members pvlan400; } } } } xe-0/0/2 { unit 0 { family ethernet-switching { port-mode access; } } } xe-0/0/3 { unit 0 { family ethernet-switching { port-mode access; } } } xe-0/0/5 { unit 0 { family ethernet-switching { port-mode access; } } } xe-0/0/6 { unit 0 { family ethernet-switching { port-mode trunk; } } } } vlans { comm300 { vlan-id 300; interface { xe-0/0/3.0; } primary-vlan pvlan100; } comm600 { vlan-id 600; interface { xe-0/0/6.0; } primary-vlan pvlan400; } pvlan100 { vlan-id 100; interface { xe-0/0/0.0; xe-0/0/2.0; xe-0/0/3.0; xe-0/0/1.0 { pvlan-trunk; } } no-local-switching; isolation-id 200; } pvlan400 { vlan-id 400; interface { xe-0/0/0.0; xe-0/0/5.0; xe-0/0/6.0; xe-0/0/1.0 { pvlan-trunk; } } no-local-switching; isolation-id 500; } }
Konfiguration der PVLANs auf Switch 2
Die Konfiguration für Switch 2 ist fast identisch mit der Konfiguration für Switch 1. Der bedeutendste Unterschied besteht in der Konfiguration von xe-0/0/0 auf Switch 2 als Promiscuous Trunk-Port oder wie ein promiscuous Access-Port, wie Abbildung 20 gezeigt. In der folgenden Konfiguration wird xe-0/0/0 als promiscuous Access-Port für das primäre VLAN pvlan100 konfiguriert.
Wenn der Datenverkehr an einem VLAN-fähigen Port ein- und an einem promiscuous Access-Port ausgehend wird, werden die VLAN-Tags auf dem Ausgangspunkt fallen lassen und der Datenverkehr wird an diesem Punkt nicht getagt. Beispielsweise datenverkehr für comm600-Ingresses am sekundären VLAN-Trunkport, der auf xe-0/0/0.0 auf Switch 1 konfiguriert ist, und überträgt Tag 600 bei der Weiterleitung über das sekundäre VLAN. Wenn er von xe-0/0/0.0 auf Switch 2 ausgangs wird, wird er nicht tagsiert, wenn Sie xe-0/0/0.0 als Promiscuous-Zugriffsport konfigurieren, wie in diesem Beispiel dargestellt. Wenn Sie xe-0/0/0.0 stattdessen als Promiscuous Trunk-Port (Port-Mode-Trunk) konfigurieren, trägt der Datenverkehr für comm600 seinen primären VLAN-Tag (400) bei der Egresses mit sich.
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein, um die PVLANs auf Switch 2 schnell zu erstellen und zu konfigurieren:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Verfahren
Zur Konfiguration der privaten VLANs und sekundären VLAN-Trunk-Ports:
Konfiguration der Schnittstellen und Port-Modi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Konfiguration der primären VLANs als privat:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfiguration des PVLAN-Trunkports zur Übertragung des privaten VLAN-Datenverkehrs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Sekundäres VLAN comm300 mit VLAN-ID 300 erstellen:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Sekundäres VLAN comm600 mit VLAN-ID 600 erstellen:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
-
Konfiguration der isolierten Interswitch-VLANs:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Konfigurieren Sie den Zugangsport xe-0/0/0 als promiscuous für pvlan100:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
Anmerkung:Ein promiscuous Access-Port kann nur zu einem primären VLAN gehört werden.
Konfigurieren Sie xe-0/0/2 und xe-0/0/6, um isoliert zu werden:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 2:
[edit] user@switch# show interfaces { xe-0/0/0 { unit 0 { family ethernet-switching { port-mode access; vlan { members pvlan100; } } } } xe-0/0/1 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members pvlan100; members pvlan400; } } } } xe-0/0/2 { unit 0 { family ethernet-switching { port-mode trunk; } } } xe-0/0/3 { unit 0 { family ethernet-switching { port-mode access; } } } xe-0/0/5 { unit 0 { family ethernet-switching { port-mode access; } } } xe-0/0/6 { unit 0 { family ethernet-switching { port-mode access; } } } vlans { comm300 { vlan-id 300; interface { xe-0/0/3.0; } primary-vlan pvlan100; } comm600 { vlan-id 600; interface { xe-0/0/6.0; } primary-vlan pvlan400; } pvlan100 { vlan-id 100; interface { xe-0/0/0.0; xe-0/0/2.0; xe-0/0/3.0; xe-0/0/1.0 { pvlan-trunk; } } no-local-switching; isolation-id 200; } pvlan400 { vlan-id 400; interface { xe-0/0/5.0; xe-0/0/6.0; xe-0/0/1.0 { pvlan-trunk; } } no-local-switching; isolation-id 500; } }
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Sicherstellen, dass das private VLAN und sekundäre VLANs erstellt wurden
- Überprüfung der Ethernet-Switching-Tabelleneinträge
Sicherstellen, dass das private VLAN und sekundäre VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und sekundäre VLANs auf Switch 1 ordnungsgemäß erstellt wurden.
Aktion
Verwenden Sie show vlans
den Befehl:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Bedeutung
Die Ausgabe zeigt, dass die privaten VLANs erstellt wurden und identifiziert die zugehörigen Schnittstellen und sekundären VLANs.
Überprüfung der Ethernet-Switching-Tabelleneinträge
Zweck
Stellen Sie sicher, dass die Ethernet-Switching-Tabelleneinträge für das primäre VLAN pvlan100 erstellt wurden.
Aktion
Zeigen Sie die Ethernet-Switching-Tabelleneinträge für pvlan100 an.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Sicherstellen, dass ein privates VLAN auf einem Switch arbeitet
Zweck
Stellen Sie nach der Erstellung und Konfiguration privater VLANs (PVLANs) sicher, dass sie ordnungsgemäß eingerichtet wurden.
Aktion
Um zu bestimmen, ob Sie die primären und sekundären VLAN-Konfigurationen erfolgreich erstellt haben:
Verwenden Sie für ein PVLAN auf einem einzelnen Switch den
show configuration vlans
folgenden Befehl:user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }
Verwenden Sie für ein PVLAN, das mehrere Switches umspannt, den show vlans
extensive
folgenden Befehl:user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Verwenden Sie den Befehl, um VLAN-Informationen und Verbindungsstatus für ein PVLAN auf einem einzelnen Switch oder für ein PVLAN mit
show vlans
extensive
mehreren Switches anzuzeigen.Für PVLAN auf einem einzigen Switch:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2
Für PVLAN mit mehreren Switches:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Verwenden Sie
show ethernet-switching table
den Befehl zum Anzeigen von Protokollen für MAC-Learning in den VLANs:user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Wenn Sie ein PVLAN konfiguriert haben, das mehrere Switches umspannt, können Sie auf allen Switches denselben Befehl verwenden, um die Protokolle für das MAC-Lernen auf diesen Switches zu überprüfen.
Bedeutung
In den Ausgabeanzeigen für ein PVLAN auf einem einzelnen Switch sehen Sie, dass das primäre VLAN zwei Community-Domänen (und ) zwei isolierte Ports und zwei Trunk-Ports community1community2 enthält. Das PVLAN auf einem einzelnen Switch hat nur ein Tag ( ), d. h. 1000 für das primäre VLAN.
Das PVLAN, das mehrere Switches umfasst, enthält mehrere Tags:
Die COM1 Community-Domain wird mit Tag 100 identifiziert.
Die community2 Community-Domain wird mit Tag 20 identifiziert.
Die isolierte Interswitch-Domäne wird mit Tag 50 identifiziert.
Das primäre VLAN primary wird mit einem Tag 10 identifiziert.
Für das PVLAN, das mehrere Switches überspannt, werden die Trunkschnittstellen auch als pvlan-trunk identifiziert.
Fehlerbehebung privater VLANs auf QFX-Switches
Verwenden Sie die folgenden Informationen zur Fehlerbehebung einer privaten VLAN-Konfiguration.
- Grenzen privater VLANs
- Weiterleitung mit privaten VLANs
- Egress Firewall-Filter mit privaten VLANs
- Ausgangs-Port-Spiegelung mit privaten VLANs
Grenzen privater VLANs
Für private VLAN-Konfigurationen gelten folgende Einschränkungen:
IGMP-Snooping wird von privaten VLANs nicht unterstützt.
Geroutete VLAN-Schnittstellen werden in privaten VLANs nicht unterstützt
Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.
Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zuerst in ein normales VLAN ändern und die Änderung festlegen. Sie befolgen z. B. folgendes Verfahren:
Ändern Sie das primäre VLAN in ein normales VLAN.
Commit für die Konfiguration.
Ändern Sie das normale VLAN in ein sekundäres VLAN.
Commit für die Konfiguration.
Befolgen Sie die gleiche Abfolge von Commits, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN, und commit diese Änderung, und ändern Sie dann das normale VLAN in ein primäres VLAN.
Weiterleitung mit privaten VLANs
Problem
Beschreibung
Wenn isolierter VLAN- oder Community-VLAN-Tagged-Datenverkehr an einem PVLAN-Trunkport empfangen wird, werden MAC-Adressen aus dem primären VLAN gelernt. Die Ausgabe des Befehls "show ethernet-switching table" zeigt, dass MAC-Adressen aus dem primären VLAN gelernt und in sekundäre VLANs repliziert werden. Dieses Verhalten wirkt sich nicht auf die Weiterleitungsentscheidungen aus.
Wenn ein Paket mit einem sekundären VLAN-Tag an einem Promiscuous-Port empfangen wird, wird es akzeptiert und weitergeleitet.
Wenn ein Paket an einem PVLAN-Trunkport empfangen wird und beide unten aufgeführten Bedingungen erfüllt, wird es verworfen.
Das Paket hat einen VLAN-Tag für die Community.
Das Paket ist an eine Unicast MAC-Adresse oder Multicastgruppen-MAC-Adresse bestimmt, die in einem isolierten VLAN gelernt wurde.
Wenn ein Paket an einem PVLAN-Trunkport empfangen wird und beide unten aufgeführten Bedingungen erfüllt, wird es verworfen.
Das Paket verfügt über einen isolierten VLAN-Tag.
Das Paket ist an eine Unicast MAC-Adresse oder Multicastgruppen-MAC-Adresse bestimmt, die in einem Community-VLAN gelernt wurde.
Wenn ein Paket mit einem primären VLAN-Tag von einem sekundären VLAN-Port (isoliert oder community) empfangen wird, weitergeleitet der sekundäre Port das Paket weiter.
Wenn Sie ein Community-VLAN auf einem Gerät konfigurieren und ein weiteres Community-VLAN auf einem zweiten Gerät konfigurieren und beide Community-VLANs dieselbe VLAN-ID verwenden, kann der Datenverkehr für eines der VLANs an das andere VLAN weitergeleitet werden. Nehmen wir beispielsweise die folgende Konfiguration an:
Community VLAN comm1 auf Switch 1 verfügt über VLAN-ID 50 und ist Mitglied des primären VLAN pvlan100.
Community VLAN comm2 auf Switch 2 hat außerdem die VLAN-ID 50 und ist Mitglied des primären VLAN pvlan200.
Das primäre VLAN pvlan100 ist auf beiden Switches vorhanden.
Wenn der Datenverkehr für comm1 von Switch 1 zu Switch 2 gesendet wird, wird er an die ports gesendet, die auf comm2 teilnehmen. (Der Datenverkehr wird wie erwartet auch an die Ports in comm1 weitergeleitet.)
Lösung
Bei diesen Verhaltensweisen handelt es sich um erwartete Verhaltensweisen.
Egress Firewall-Filter mit privaten VLANs
Problem
Beschreibung
Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter auch für die sekundären VLANs, die Mitglieder des primären VLANs sind, wenn der Datenverkehr mit dem primären VLAN-Tag oder einem isolierten VLAN-Tag (wie unten aufgelistet) abzieht:
Datenverkehr wird von einem sekundären VLAN-Trunkport an einen Promiscuous-Port (Trunk oder Zugang) weitergeleitet
Datenverkehr wird von einem sekundären VLAN-Trunkport weitergeleitet, der ein isoliertes VLAN an einen PVLAN-Trunkport transportiert.
Datenverkehr wird von einem Promiscuous-Port (Trunk oder Zugang) an einen sekundären VLAN-Trunkport weitergeleitet
Datenverkehr wird von einem PVLAN-Trunkport weitergeleitet. zu einem sekundären VLAN-Trunkport
Der Datenverkehr wird von einem Community-Port zu einem Promiscuous-Port (Trunk oder Zugang) weitergeleitet
Wenn Sie einen Firewall-Filter in der Ausgaberichtung auf ein primäres VLAN anwenden, gilt dieser Filter nicht für Datenverkehr, der mit einem VLAN-Tag der Community abfing, wie unten aufgelistet:
Datenverkehr wird von einem Trunkport der Community an einen PVLAN-Trunkport weitergeleitet
Datenverkehr wird von einem sekundären VLAN-Trunkport weitergeleitet, der ein Community-VLAN an einen PVLAN-Trunkport transportiert
Der Datenverkehr wird von einem Promiscuous-Port (Trunk oder Zugang) zu einem Trunkport an einer Community weitergeleitet
Datenverkehr wird von einem PVLAN-Trunkport weitergeleitet. zu einem Trunkport mit Community-Port
Wenn Sie einen Firewall-Filter in der Ausgaberichtung an ein Community-VLAN wenden, gelten die folgenden Verhaltensweisen:
Der Filter wird auf Datenverkehr angewendet, der von einem Promiscuous-Port (Trunk oder Zugang) zu einem Community-Trunkport weitergeleitet wird (da der Datenverkehr mit dem VLAN-Tag der Community abzieht).
Der Filter wird auf Den Datenverkehr angewendet, der von einem Community-Port an einen PVLAN-Trunkport weitergeleitet wird (da der Datenverkehr mit dem Community-VLAN-Tag abzieht).
Der Filter wird nicht auf Datenverkehr angewendet, der von einem Community-Port zu einem Promiscuous-Port weitergeleitet wird (da der Datenverkehr mit dem primären VLAN-Tag oder nicht kennzeichnend abfälscht).
Lösung
Bei diesen Verhaltensweisen handelt es sich um erwartete Verhaltensweisen. Sie treten nur auf, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Ausgaberichtung anwenden und nicht auftreten, wenn Sie einen Firewall-Filter auf ein privates VLAN in der Eingangsrichtung anwenden.
Ausgangs-Port-Spiegelung mit privaten VLANs
Problem
Beschreibung
Wenn Sie eine Konfiguration mit Portspiegelung erstellen, die den privaten VLAN-Datenverkehr (PVLAN) auf dem Ausgangsstrom spiegelt, hat der gespiegelte Datenverkehr (der Datenverkehr, der an das Analysesystem gesendet wird) anstelle des Ausgangs-VLAN den VLAN-Tag des ingressen VLAN. Nehmen wir beispielsweise die folgende PVLAN-Konfiguration an:
Promiscuous Trunk-Port, der primäre VLANs pvlan100 und pvlan400 transportiert.
Isolierter Zugriffsport, der sekundäres VLAN isoliert 200 transportiert. Dieses VLAN ist ein Mitglied des primären VLAN pvlan100.
Community-Port, der sekundären VLAN-Comm300 transportiert. Dieses VLAN ist außerdem Mitglied des primären VLAN pvlan100.
Ausgangsschnittstelle (Monitorschnittstelle), die sich mit dem Analysesystem verbindet. Über diese Schnittstelle wird der gespiegelte Datenverkehr an den Analyzer weitergeleitet.
Wenn ein Paket für pvlan100 an den Promiscuous-Trunkport startet und an dem isolierten Zugriffsport austritt, wird das originale Paket beim Ausgangszugriff nicht tagsgeschützt, da es über einen Zugriffsport auskommt. Der Tag bleibt jedoch beim Speichern des Tags für pvlan100, wenn er an den Analysegerät gesendet wird.
Dies ist ein weiteres Beispiel: Wenn ein Paket für den eingehenden Comm300-Paket am Community-Port und am Promiscuous Trunk-Port aus dem Ausgangs-Port führt, transportiert das originale Paket wie erwartet den Tag für pvlan100 auf dem Ausgangspunkt. Die gespiegelte Kopie behält jedoch den Tag für comm300, wenn sie an den Analyzer gesendet wird.
Lösung
Damit wird ein solches Verhalten erwartet.